Campaña de Malware DollyWay afectó a 20.000 sitios de WordPres

La operación de malware DollyWay ha estado en marcha desde 2016, comprometido más de 20,000 sitios de WordPress a nivel mundial para redirigir a los usuarios a sitios maliciosos.

Detalles de la campaña de malware DollyWay

DollyWay ha pasado de distribuir payloads más dañinos como ransomware y troyanos bancarios a convertirse en un sistema de redirección a gran escala.

Última versión (v3):

Genera 10 millones de impresiones fraudulentas al mes redirigiendo a los visitantes de los sitios de WordPress a sitios falsos de citas, juegos de azar, criptomonedas y sorteos.

Utiliza una red de distribución de tráfico (TDS) para analizar y redirigir el tráfico web según diversas características del visitante, como su ubicación, tipo de dispositivo y referencia.

Se monetiza a través de las redes de afiliados VexTrio y LosPollos.

Estrategia de infección y persistencia ⚠️

DollyWay compromete los sitios web mediante inyección de scripts en plugins y temas vulnerables. Luego, se asegura de mantener la persistencia al reinfectar los sitios con cada carga de página, insertando su código PHP en plugins activos y ocultando un plugin adicional llamado WPCode que contiene fragmentos de malware ofuscados.

Una vez infectado, selecciona sitios infectados al azar para que actúen como nodos de TDS y redirigir a los usuarios a las páginas de estafas de VexTrio y LosPollos.

Métodos para evitar la infección ️

Los investigadores de GoDaddy han proporcionado una lista completa de indicadores de compromiso (IoCs) para ayudar a defenderse contra esta amenaza.

DollyWay emplea técnicas de ocultación, como la creación de usuarios admin ocultos con cadenas hexadecimales aleatorias que solo son visibles mediante una inspección directa de la base de datos, complicando la limpieza del sistema.