111/68 (IT) ประจำวันศุกร์ที่ 21 มีนาคม 2568
ตั้งแต่ปี 2016 เป็นต้นมา แคมเปญมัลแวร์ที่มีชื่อว่า “DollyWay” ได้โจมตีเว็บไซต์ WordPress กว่า 20,000 แห่งทั่วโลก โดยเปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์อันตราย เช่น เว็บไซต์หาคู่ การพนันออนไลน์ และการหลอกลวงอื่น ๆ แคมเปญนี้มีการพัฒนาอย่างต่อเนื่อง โดยใช้เทคนิคการหลบเลี่ยงขั้นสูงและการติดเชื้อซ้ำเพื่อคงอยู่ในระบบ โดย Denis Sinegubko นักวิจัยจาก GoDaddy เปิดเผยว่า DollyWay เริ่มต้นจากการแจกจ่ายมัลแวร์ร้ายแรง เช่น แรนซัมแวร์และโทรจันการธนาคาร แต่ในปัจจุบันได้เปลี่ยนมาเป็นระบบเปลี่ยนเส้นทางผู้ใช้ขนาดใหญ่ ซึ่งสร้างรายได้ผ่านเครือข่ายพันธมิตรอย่าง VexTrio และ LosPollos
DollyWay ใช้ช่องโหว่แบบ n-day บนปลั๊กอินและธีม WordPress เพื่อติดเชื้อเว็บไซต์ โดย ณ เดือนกุมภาพันธ์ 2025 มีการแสดงผลหลอกลวงกว่า 10 ล้านครั้งต่อเดือน ผ่านการรีไดเร็กต์ไปยังเครือข่ายพันธมิตร VexTrio และ LosPollos ซึ่งทำหน้าที่กรองการเข้าชมผ่านระบบ TDS (Traffic Distribution System) เพื่อเลือกเป้าหมายในการโจมตี การเปลี่ยนเส้นทางจะเกิดขึ้นเมื่อผู้ใช้มีการโต้ตอบกับองค์ประกอบของหน้า ทำให้สามารถหลบเลี่ยงการตรวจสอบของเครื่องมือสแกนแบบพาสซีฟที่เน้นการตรวจสอบการโหลดหน้าเท่านั้น
การติดเชื้อซ้ำอย่างต่อเนื่องของ DollyWay อาศัยการกระจายโค้ด PHP ไปยังปลั๊กอินที่ทำงานอยู่ รวมถึงการติดตั้งและซ่อนปลั๊กอิน WPCode ที่มีสไนปเป็ตมัลแวร์แฝงอยู่ และยังสร้างผู้ใช้ระดับผู้ดูแลระบบที่ซ่อนอยู่ ทำให้การตรวจพบและกำจัดออกเป็นไปได้ยาก นักวิจัยจาก GoDaddy เตือนถึงความรุนแรงของภัยคุกคามนี้และแนะนำให้ผู้ดูแลระบบ WordPress ติดตามการอัปเดตซอฟต์แวร์อย่างสม่ำเสมอ พร้อมตรวจสอบความปลอดภัยของปลั๊กอินและธีมที่ใช้งานอย่างเคร่งครัด
