DollyWay 악성 소프트웨어 스킴, 2만 개 이상의 워드프레스 사이트 감염

GoDaddy 보안 연구원들이 “DollyWay World Domination”이라는 대규모 악성 소프트웨어 작업을 발견했습니다. 이 작업은 2016년 이후로 조용히 20,000개가 넘는 웹사이트를 감염시켰습니다.

이 캠페인은 악성 코드에서 발견된 코드 라인의 이름을 딴 것으로, 해킹된 워드프레스 사이트를 이용해 방문자들을 사기 페이지를 클릭하도록 함으로써 공격자들에게 수백만 달러를 벌어들이게 합니다.

이 작업은 2016년에 Master134와 Fake Browser Updates와 같은 캠페인으로 시작하여 세월이 흐르며 발전해왔습니다. 최신 버전인 DollyWay v3는 매우 고급적으로, 영리한 기법을 사용하여 숨어 있습니다.

예를 들어, 자동으로 웹사이트를 다시 감염시키거나, 다른 악성 소프트웨어를 제거하며, 심지어 WordPress를 업데이트하여 사이트가 매끄럽게 작동하도록 유지하면서 동시에 악의적인 활동을 숨기는 것이 가능합니다.

다음과 같이 작동합니다: 감염된 웹사이트를 방문하면, 악성 소프트웨어는 당신이 모르게 사기 페이지로 리디렉션합니다. 이들 사기 페이지는 대게 데이팅, 암호화폐, 도박과 관련되어 있습니다. 이런 사기들은 VexTrio라는 사이버 범죄자들이 운영하는 더 큰 네트워크의 일부입니다. 이 악성 소프트웨어는 봇, 로그인한 사용자, 심지어 지역 방문자까지 무시하여 감지를 피하는 교활함을 가지고 있습니다.

2025년 2월 현재, 약 1만 개의 워드프레스 사이트가 감염되어 있으며, 매달 약 1천만 건의 악성 페이지 조회가 발생하고 있습니다. 이 악성 소프트웨어는 숨어 있도록 설계되어 있어, 웹사이트 소유자들이 문제를 인지하기가 어렵습니다.

DollyWay v3의 가장 우려되는 특징 중 하나는 웹사이트를 계속해서 재감염시키는 능력입니다. 누군가 감염된 사이트를 방문할 때마다, 이 악성 프로그램은 그것이 여전히 제어권을 유지하고 있는지 확인합니다. 만약 보안 플러그인을 찾게 되면 이를 비활성화합니다. 또한, 합법적인 플러그인과 WPCode의 코드 조각에 악성 코드를 숨겨서 감지하고 제거하는 것이 더욱 어렵게 만듭니다.

공격자들은 또한 무작위의 사용자 이름과 이메일 주소를 가진 숨겨진 관리자 계정을 생성합니다. 이 계정들을 통해 원래의 관리자가 그들을 제거하려 해도 언제든지 사이트에 접속할 수 있습니다. 어떤 경우에는, 악성 프로그램이 실제 관리자의 로그인 정보를 훔쳐서 접근 권한을 유지하기도 합니다.

상황을 더욱 악화시키는 것은, 이 악성 소프트웨어는 고급 암호화를 사용하여 코드를 보호하고 공격자만이 이를 제어할 수 있도록 보장합니다. 또한 TDS 노드라 불리는 14개의 감염된 웹사이트 네트워크를 사용하여 사기 리다이렉트를 관리합니다. 이 노드들은 작전을 원활하게 진행하기 위해 매일 업데이트됩니다.

웹사이트 소유자들은 예기치 않은 리다이렉트 또는 이상한 관리자 계정 등 감염의 징후를 찾기 위해 자신들의 사이트를 확인하도록 권장됩니다. 강력한 보안 플러그인을 사용하고 워드프레스를 최신 상태로 유지하는 것이 이런 종류의 공격을 방어하는 데 도움이 될 수 있습니다.