Preventivo sconto multi-licenza
Database delle minacce Malware Campagna malware DollyWay

Campagna malware DollyWay

Entro Mezo nel Malware
Traduci in:
Italiano

DollyWay, un'operazione malware attiva dal 2016, ha compromesso oltre 20.000 siti WordPress in tutto il mondo. Questa campagna in corso è diventata più sofisticata nel corso degli anni, perfezionando le sue strategie di evasione, reinfezione e monetizzazione, diventando una minaccia significativa per la sicurezza del sito.

L’evoluzione di DollyWay in un sistema di reindirizzamento tattico

Inizialmente, DollyWay distribuiva ransomware e trojan bancari, rappresentando una minaccia diretta per i visitatori del sito. Tuttavia, nella sua versione attuale (DollyWay v3), il malware ha spostato l'attenzione sul funzionamento come sistema di reindirizzamento delle truffe, indirizzando gli utenti verso siti fraudolenti.

Una ricerca recente ha rivelato che DollyWay fa parte di un'operazione più estesa e di lunga durata nota come "DollyWay World Domination". L'operazione include più campagne che condividono codice, infrastruttura e tattiche di monetizzazione simili. Il malware prende il nome dalla stringa trovata nel suo codice:

Come DollyWay v3 compromette migliaia di siti WordPress

DollyWay v3 prende di mira i siti WordPress vulnerabili sfruttando le falle n-day nei plugin e nei temi. Una volta che un sito è compromesso, il malware reindirizza i visitatori a siti dannosi che offrono falsi incontri, gioco d'azzardo, truffe sulle criptovalute e lotterie.

A partire da febbraio 2025, DollyWay è responsabile della generazione di oltre 10 milioni di impressioni fraudolente al mese, indirizzando il traffico verso pagine truffa che vengono monetizzate tramite le reti di affiliazione VexTrio e LosPollos. Questo processo di reindirizzamento è gestito tramite un Traffic Direction System (TDS) che filtra gli utenti in base a caratteristiche specifiche.

Il processo di infezione in tre fasi

  • Impostazione di iniezione e reindirizzamento : il malware inietta uno script nel sito utilizzando wp_enqueue_script, caricando un secondo script non sicuro dal sito compromesso.
  • Filtraggio del traffico : il secondo script analizza i dati del referrer del visitatore, categorizzando i target di reindirizzamento. Gli utenti non vengono reindirizzati se:
  • Non esiste alcun referrer (che ha visitato direttamente il sito web).
  • Vengono rilevati come bot.
  • Sono utenti WordPress registrati, compresi gli amministratori.
  • Reindirizzamento finale a pagine fraudolente : tre siti infettati casualmente agiscono come nodi TDS, caricando JavaScript nascosto che reindirizza il visitatore alle pagine truffa VexTrio o LosPollos. Questo reindirizzamento avviene solo quando il visitatore clicca su un elemento della pagina, rendendolo più difficile da rilevare.

Tecniche di persistenza e furtività di DollyWay

DollyWay ha sviluppato una serie di tecniche per garantire la sua persistenza sui siti infetti. Una volta compromesso un sito WordPress, il malware assicura che si reinfetti a ogni caricamento di pagina, rendendo difficile la rimozione. Ecco le sue tattiche chiave:

  • Distribuzione del codice PHP tra i plugin attivi.
  • Iniezione di codice dannoso nel plugin WPCode (uno strumento di terze parti utilizzato per modificare WordPress senza alterare i file principali).
  • Nascondere WPCode dall'elenco dei plugin lo rende invisibile agli amministratori e più difficile da rimuovere.

Inoltre, il malware crea account amministratore nascosti con stringhe esadecimali casuali di 32 caratteri, visibili solo tramite l'ispezione diretta del database, garantendo agli aggressori il controllo del sito.

Conclusione: una minaccia persistente e in continua evoluzione

DollyWay è una campagna malware continua e resiliente che continua a evolversi con tattiche sempre più sofisticate. La sua capacità di:

  • Reinfettare automaticamente i siti
  • Evita il rilevamento tramite script nascosti e account amministratore
  • Monetizza il traffico di reindirizzamento attraverso reti legate alle frodi

…rappresenta una seria minaccia per i proprietari di siti WordPress in tutto il mondo. Gli amministratori di siti Web devono rimanere vigili e aggiornare regolarmente temi, plugin e protocolli di sicurezza per mitigare i rischi di infezione.

Tendenza

I più visti

Caricamento in corso...