Uma operação de malware chamada 'DollyWay' vem sendo conduzida desde 2016, comprometendo mais de 20.000 sites WordPress globalmente para redirecionar usuários a sites maliciosos.
A campanha evoluiu significativamente nos últimos oito anos, utilizando estratégias avançadas de evasão, reinfecção e monetização.
De acordo com o pesquisador da GoDaddy, Denis Sinegubko, DollyWay tem funcionado como um grande sistema de redirecionamento de golpes na sua última versão (v3).
No entanto, no passado, distribuiu payloads mais nocivas como ransomware e trojans bancários.
"Pesquisadores de segurança da GoDaddy descobriram evidências que ligam várias campanhas de malware em uma única operação de longo prazo que chamamos de 'DollyWay World Domination'", explica um relatório recente da GoDaddy.
Embora anteriormente pensadas como campanhas separadas, nossa pesquisa revela que esses ataques compartilham infraestrutura, padrões de código e métodos de monetização comuns - todos parecendo estar conectados a um único ator de ameaça sofisticado.
A operação foi nomeada após a seguinte string indicativa, que é encontrada em algumas variações do malware: define('DOLLY_WAY', 'World Domination').
DollyWay v3 é uma operação de redirecionamento avançada que visa sites WordPress vulneráveis, usando falhas n-day em plugins e temas para comprometê-los.
Até fevereiro de 2025, DollyWay gera 10 milhões de impressões fraudulentas por mês, redirecionando visitantes de sites WordPress para sites falsos de namoro, jogos de azar, cripto e sorteios.
A campanha é monetizada por meio das redes afiliadas VexTrio e LosPollos, após filtrar visitantes através de um Sistema de Direcionamento de Tráfego (Traffic Direction System - TDS).
Um Sistema de Distribuição de Tráfego analisa e redireciona o tráfego da web baseado em vários aspectos de um visitante, como sua localização, tipo de dispositivo e referenciador.
Cibercriminosos comumente usam sistemas TDS maliciosos para redirecionar usuários para sites phishing ou downloads de malware.
Os sites são comprometidos via injeção de script com 'wp_enqueue_script', que carrega dinamicamente um segundo script do site comprometido.
O segundo estágio coleta dados do referenciador do visitante para ajudar a categorizar o tráfego de redirecionamento e então carrega o script TDS que decide sobre a validade dos alvos.
Visitantes diretos do site que não têm referenciador, não são bots (o script tem uma lista codificada de 102 conhecidos user-agents de bot) e não são usuários WordPress logados (incluindo administradores) são considerados inválidos e não são redirecionados.
O terceiro estágio seleciona três sites infectados aleatórios para servir como nós TDS e depois carrega JavaScript oculto de um deles para realizar o redirecionamento final para as páginas de golpe da VexTrio ou LosPollos.
O malware usa parâmetros de rastreamento de afiliados para garantir que os atacantes sejam pagos por cada redirecionamento.
Vale ressaltar que o redirecionamento final só ocorre quando o visitante interage com um elemento da página (clica), evitando ferramentas de varredura passivas que apenas examinam os carregamentos de página.
Sinegubko explica que DollyWay é uma ameaça muito persistente que automaticamente reinfecta um site a cada carregamento de página, tornando sua remoção particularmente difícil.
Isso é alcançado espalhando seu código PHP por todos os plugins ativos e também adicionando uma cópia do plugin WPCode (se ainda não instalado) que contém trechos de malware ofuscado.
WPCode é um plugin de terceiros que permite aos administradores adicionar pequenos trechos de "código" que modificam a funcionalidade do WordPress sem editar diretamente os arquivos do tema ou o código do WordPress.
Como parte de um ataque, os hackers escondem o WPCode da lista de plugins do WordPress para que os administradores não possam vê-lo ou excluí-lo, tornando a desinfecção complicada.
DollyWay também cria usuários administradores nomeados após strings hexadecimais aleatórias de 32 caracteres e mantém essas contas ocultas no painel administrativo.
Elas só são visíveis através da inspeção direta do banco de dados.
A GoDaddy compartilhou a lista completa dos indicadores de comprometimento (IoCs) associados ao DollyWay para ajudar na defesa contra essa ameaça.
Publicará mais detalhes sobre a infraestrutura da operação e as táticas em mudança em uma postagem de acompanhamento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...