Berita Terbaru

DollyWay v3: Malware Berbahaya yang Menyusup ke 20.000 WordPress

Wordpress

Wordpress

Sejak tahun 2016, kampanye malware bernama DollyWay telah menyusup ke lebih dari 20.000 situs WordPress di seluruh dunia. Serangan ini bertujuan untuk mengalihkan pengunjung ke situs berbahaya yang digunakan dalam berbagai bentuk penipuan online. Selama delapan tahun terakhir, serangan ini terus berkembang dengan strategi yang semakin canggih, membuatnya sulit dideteksi dan dihapus.

Dalam laporan terbaru dari GoDaddy, malware DollyWay kini telah mencapai versi ketiga (v3) dan beroperasi sebagai sistem pengalihan lalu lintas (redirection system) berskala besar. Namun, dalam versi sebelumnya, DollyWay juga pernah digunakan untuk menyebarkan ancaman berbahaya lainnya, seperti ransomware dan trojan perbankan.

Lantas, bagaimana cara kerja DollyWay? Mengapa serangan ini begitu sulit dihentikan? Dan bagaimana cara melindungi situs WordPress dari ancaman ini? Artikel ini akan membahasnya secara mendalam.

 
Apa Itu DollyWay?

DollyWay adalah malware yang secara spesifik menargetkan situs berbasis WordPress. Kampanye ini dijalankan oleh kelompok peretas yang sangat terorganisir, dengan tujuan utama mendapatkan keuntungan melalui pengalihan lalu lintas ke situs berbahaya.

Peneliti keamanan dari GoDaddy, Denis Sinegubko, mengungkapkan bahwa kampanye ini menggunakan infrastruktur yang sama, memiliki pola kode serupa, serta menerapkan metode monetisasi yang identik di berbagai situs yang diserang.

Nama "DollyWay" sendiri berasal dari sebuah kode dalam malware yang berbunyi:

define('DOLLY_WAY', 'World Domination');

Frasa "World Domination" ini menunjukkan ambisi besar dari kelompok peretas di balik DollyWay untuk menguasai lalu lintas internet melalui teknik pengalihan otomatis.

 
Bagaimana DollyWay Menginfeksi Situs WordPress?

DollyWay v3 bekerja dengan menargetkan situs WordPress yang memiliki celah keamanan, khususnya pada plugin dan tema yang rentan. Begitu berhasil masuk, malware ini akan menyusup ke dalam situs dan mulai mengalihkan pengunjung ke berbagai situs berbahaya, seperti:

  1. Situs kencan palsu
  2. Platform perjudian ilegal
  3. Penipuan investasi kripto
  4. Undian berhadiah palsu

Diperkirakan, hingga Februari 2025, kampanye ini telah menghasilkan 10 juta tampilan palsu per bulan, yang kemudian dikonversi menjadi pendapatan bagi pelaku kejahatan siber melalui jaringan afiliasi VexTrio dan LosPollos.

 

Bagaimana Cara Kerja DollyWay?

DollyWay adalah malware canggih yang menargetkan situs WordPress untuk mengalihkan pengunjung ke situs berbahaya dengan tujuan menghasilkan keuntungan bagi pelaku kejahatan siber. Untuk memahami bagaimana DollyWay beroperasi, berikut adalah tahapan serangannya secara rinci:

  1. Menyusup ke Situs WordPress
    Tahap awal dari serangan ini adalah menyusup ke dalam situs WordPress yang rentan. DollyWay mengeksploitasi celah keamanan dalam plugin atau tema yang tidak diperbarui untuk menyisipkan skrip berbahaya.
    Teknik yang digunakan:
    • DollyWay menggunakan wp_enqueue_script, sebuah fungsi dalam
    • WordPress yang biasanya digunakan untuk memuat file JavaScript dengan benar.
    • Skrip pertama akan disisipkan ke dalam situs yang telah terinfeksi.
    • Skrip ini kemudian akan memuat skrip kedua dari situs lain yang juga telah dikompromikan, memastikan proses infeksi berjalan dengan lancar.

    Tujuan: DollyWay memasukkan skrip ke dalam kode situs untuk menjalankan proses pengalihan tanpa terdeteksi oleh pemilik situs atau sistem keamanan.

  2. Mengumpulkan Data Pengunjung
    Setelah skrip kedua berhasil dimuat, DollyWay mulai menganalisis karakteristik setiap pengunjung situs yang terinfeksi. Informasi yang dikumpulkan mencakup:
    • Lokasi geografis (menggunakan alamat IP).
    • Jenis perangkat yang digunakan (apakah pengguna mengakses dari ponsel atau komputer).
    • Sumber lalu lintas (apakah pengunjung datang secara organik dari pencarian Google atau melalui tautan lain).

    Tujuan: Dengan data ini, DollyWay dapat menentukan apakah pengunjung layak dialihkan ke situs berbahaya atau tidak.

  3. Menyeleksi Pengunjung yang Valid
    DollyWay tidak serta-merta mengalihkan semua pengunjung. Ada beberapa kriteria yang membuat pengunjung tidak akan diarahkan ke halaman scam, yaitu:
    • Jika pengunjung datang langsung (direct visit tanpa perantara tautan lain).
    • Jika pengunjung terdeteksi sebagai bot atau crawler mesin pencari, seperti Googlebot. DollyWay memiliki daftar 102 jenis bot yang dikenali.
    • Jika pengunjung sedang login ke WordPress, termasuk administrator situs.

    Tujuan: DollyWay memastikan bahwa hanya pengguna nyata yang akan dialihkan, menghindari deteksi oleh mesin pencari atau administrator situs.

  4. Menggunakan Situs Lain sebagai Perantara
    Agar lebih sulit dideteksi, DollyWay tidak langsung mengarahkan pengunjung ke halaman penipuan. Sebaliknya, ia menggunakan jaringan situs WordPress lain yang juga telah terinfeksi.
    • Setidaknya tiga situs lain digunakan sebagai jembatan sebelum akhirnya membawa pengunjung ke situs scam.
    • Teknik ini membuat jejak pengalihan menjadi lebih kompleks, menyulitkan sistem keamanan dalam mendeteksi pola serangan.
    • Proses pengalihan ini dilakukan secara diam-diam melalui kode JavaScript tersembunyi di situs yang terinfeksi.

    Tujuan: DollyWay menciptakan sistem pengalihan berlapis agar lebih sulit dideteksi oleh pemindai keamanan atau administrator situs.

  5. Menghasilkan Keuntungan Melalui Afiliasi
    Setelah pengunjung dialihkan ke situs berbahaya, para pelaku kejahatan siber mulai menghasilkan uang melalui sistem afiliasi.
    • DollyWay bekerja sama dengan jaringan afiliasi VexTrio dan LosPollos, yang dikenal sering digunakan untuk skema penipuan online.
    • Pengalihan ke situs berbahaya hanya terjadi ketika pengunjung melakukan interaksi, seperti mengklik tombol atau tautan.
    • Dengan cara ini, pengalihan tidak mudah dideteksi oleh alat pemindai otomatis yang biasanya hanya memeriksa halaman tanpa interaksi pengguna.

    Tujuan: Memastikan bahwa setiap pengalihan yang berhasil dapat menghasilkan keuntungan bagi pelaku kejahatan melalui komisi afiliasi.

 

Bagaimana Cara DollyWay Bertahan?

DollyWay bukan hanya malware yang menyerang dan menginfeksi situs WordPress, tetapi juga memiliki mekanisme bertahan yang kuat agar sulit dihapus. Dengan strategi yang kompleks, DollyWay memastikan bahwa meskipun pemilik situs berusaha menghapusnya, malware ini dapat menginfeksi ulang dalam hitungan detik. Berikut adalah langkah-langkah yang digunakan DollyWay untuk bertahan di dalam sistem:

  1. Menyebarkan Kode PHP Berbahaya ke Seluruh Plugin Aktif
    DollyWay tidak hanya menginfeksi satu bagian situs, tetapi menyebarkan kode PHP berbahaya ke dalam semua plugin aktif di situs WordPress.
    • Setiap plugin yang terinstal akan disusupi skrip jahat, memastikan bahwa DollyWay tetap aktif meskipun satu plugin dihapus.
    • Dengan metode ini, malware tidak hanya berada dalam satu lokasi, tetapi tersebar di banyak tempat, membuatnya lebih sulit untuk dihapus sepenuhnya.
  2. Menginstal Plugin WPCode dan Menyisipkan Kode Malware
    Jika situs target belum memiliki plugin WPCode, DollyWay akan menginstalnya secara otomatis. WPCode adalah plugin yang biasanya digunakan untuk menyisipkan skrip kustom ke dalam WordPress, dan DollyWay memanfaatkannya untuk menyuntikkan kode malware tersembunyi.
    • DollyWay memilih WPCode karena plugin ini memungkinkan skrip berjalan tanpa harus mengubah langsung kode inti WordPress.
    • Kode berbahaya yang disisipkan dapat tetap berjalan bahkan setelah pemilik situs memperbarui WordPress atau plugin lainnya.
  3. Menyembunyikan Plugin WPCode dari Dasbor WordPress
    Agar pemilik situs tidak menyadari bahwa WPCode telah terinfeksi, DollyWay menggunakan trik menyembunyikan plugin ini dari daftar plugin di dasbor WordPress.
    • Biasanya, administrator WordPress dapat melihat semua plugin yang terinstal melalui menu "Plugins". Namun, DollyWay mengubah pengaturan sistem agar plugin WPCode tidak muncul di daftar ini.
    • Dengan demikian, pemilik situs tidak bisa melihat atau menghapus plugin yang telah disusupi oleh malware.
  4. Membuat Akun Admin Tersembunyi
    DollyWay juga menciptakan akun administrator tersembunyi dengan nama acak yang terdiri dari 32 karakter heksadesimal.
    • Akun ini tidak akan muncul dalam daftar pengguna di dasbor WordPress, tetapi tetap memiliki hak akses penuh sebagai administrator.
    • Satu-satunya cara untuk menemukan akun ini adalah dengan memeriksa langsung database WordPress menggunakan phpMyAdmin atau alat serupa.

Cara Melindungi Situs WordPress dari DollyWay

Keamanan WordPress adalah hal yang sangat penting, terutama dengan munculnya ancaman seperti DollyWay yang dapat menyusup ke dalam situs tanpa disadari. Untuk mencegah serangan ini, Anda perlu menerapkan berbagai lapisan perlindungan. Berikut langkah-langkah yang dapat dilakukan agar situs WordPress tetap aman:

  1. Selalu Perbarui WordPress, Tema, dan Plugin
    Salah satu cara paling efektif untuk mencegah peretasan adalah menggunakan versi terbaru dari WordPress, tema, dan plugin.
    ✔ Mengapa penting?
    • Setiap pembaruan biasanya berisi perbaikan celah keamanan yang dapat dimanfaatkan oleh hacker.
    • Dengan menggunakan versi terbaru, Anda mengurangi risiko serangan berbasis vulnerabilities (kerentanan) yang ditemukan di versi lama.

    ✔ Cara melakukannya:
    • Aktifkan pembaruan otomatis untuk WordPress, tema, dan plugin jika memungkinkan.
    • Jika Anda lebih suka melakukan pembaruan manual, pastikan untuk memeriksa pembaruan setidaknya seminggu sekali.
  2. Gunakan Firewall dan Plugin Keamanan
    Selain memperbarui sistem, Anda juga perlu memasang perlindungan tambahan untuk mencegah serangan berbahaya.
    Plugin keamanan yang direkomendasikan:
    • Wordfence – Menyediakan firewall dan pemindai malware bawaan.
    • Sucuri – Menawarkan proteksi dari serangan injeksi skrip dan bot jahat.
    • MalCare – Mampu membersihkan malware hanya dalam satu klik.
     ✔ Manfaat menggunakan firewall & plugin keamanan:
    • Mendeteksi dan memblokir ancaman sebelum masuk ke sistem.
    • Melindungi dari serangan brute force dengan membatasi jumlah percobaan login.
    • Menganalisis lalu lintas pengunjung, sehingga Anda bisa mendeteksi aktivitas mencurigakan lebih awal.
  3. Lakukan Audit Keamanan Secara Rutin
    Memeriksa keamanan situs secara berkala adalah langkah penting untuk mencegah peretas bertahan di dalam sistem tanpa terdeteksi.
    ✔ Yang perlu diperiksa:
    • Daftar akun administrator
      • Pastikan tidak ada akun mencurigakan yang memiliki akses admin.
      • Jika menemukan akun yang tidak dikenali, segera hapus dan ubah semua kata sandi penting.
    • Daftar plugin yang terinstal
      • Hapus plugin dan tema yang tidak digunakan, karena sering menjadi celah bagi hacker.
      • Periksa apakah ada plugin yang terinstal tanpa izin, karena ini bisa menjadi tanda infeksi malware.
      • File inti WordPress
      • Gunakan plugin keamanan untuk memeriksa perubahan mencurigakan pada file sistem.
  4. Gunakan Sistem Otentikasi Dua Faktor (2FA)
    Menambahkan lapisan keamanan ekstra dengan Otentikasi Dua Faktor (2FA) dapat mengurangi risiko serangan peretas yang mencoba masuk ke akun admin Anda.
    Bagaimana 2FA bekerja?
    • Selain memasukkan kata sandi, Anda juga harus memasukkan kode verifikasi dari aplikasi seperti Google Authenticator atau Authy.
    • Ini membuat hacker lebih sulit masuk, bahkan jika mereka mencuri kata sandi Anda.

    ✔ Cara mengaktifkan 2FA di WordPress:
    • Instal plugin seperti Google Authenticator, Two Factor Authentication, atau WP 2FA.
    • Hubungkan akun Anda dengan aplikasi autentikasi di ponsel.
    • Aktifkan 2FA untuk semua akun administrator dan pengguna dengan akses tinggi.
  5. Pantau Aktivitas Situs Secara Berkala
    Sering kali, malware seperti DollyWay bekerja diam-diam di latar belakang, sehingga penting untuk memonitor aktivitas situs secara berkala.
    ✔ Cara memantau aktivitas situs:
    • Gunakan plugin seperti WP Activity Log untuk melihat siapa saja yang login dan melakukan perubahan pada situs.
    • Periksa log aktivitas secara rutin untuk mendeteksi tanda-tanda peretasan, seperti:
    • Perubahan file yang tidak dikenal
    • Plugin atau tema baru yang terpasang tanpa izin
    • Akun baru yang tiba-tiba muncul dalam daftar pengguna

    ✔ Manfaat pemantauan log aktivitas:
    • Mengidentifikasi perubahan mencurigakan lebih cepat, sebelum hacker dapat merusak situs.
    • Menemukan sumber masalah dengan lebih akurat, sehingga Anda dapat segera mengambil tindakan.

 

Kesimpulan
DollyWay adalah kampanye malware canggih yang telah berlangsung sejak 2016 dan berhasil menginfeksi lebih dari 20.000 situs WordPress. Dengan teknik pengalihan lalu lintas tersembunyi, penyusupan skrip berbahaya, dan kemampuan reinfeksi otomatis, DollyWay menjadi ancaman serius bagi pemilik situs WordPress.

Langkah terbaik untuk melindungi situs WordPress Anda adalah dengan memperbarui sistem secara rutin, menggunakan plugin keamanan, serta melakukan audit keamanan secara berkala.

Keamanan digital adalah tanggung jawab bersama. Jangan biarkan situs Anda menjadi bagian dari jaringan malware DollyWay!

Bagikan artikel ini
Komentar ()

Artikel Terpopuler

LABEL ARTIKEL TERPOPULER

Berlangganan

Berlangganan newsletter kami dan dapatkan informasi terbaru.

Artikel Terkait

Video Terkait