Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware DollyWay Malware Campaign

DollyWay Malware Campaign

Por Mezo em Malware
Traduzir Para:
Português

O DollyWay, uma operação de malware ativa desde 2016, comprometeu mais de 20.000 sites WordPress globalmente. Essa campanha contínua se tornou mais sofisticada ao longo dos anos, refinando suas estratégias de evasão, reinfecção e monetização, tornando-se uma ameaça significativa à segurança do site.

A Evolução do DollyWay para um Sistema de Redirecionamento Tático

Inicialmente, o DollyWay distribuía ransomware e trojans bancários, representando uma ameaça direta aos visitantes do site. No entanto, em sua versão atual (DollyWay v3), o malware mudou o foco para operar como um sistema de redirecionamento de golpes, levando os usuários a sites fraudulentos.

Pesquisas recentes revelaram que DollyWay faz parte de uma operação mais extensa e de longa duração conhecida como 'DollyWay World Domination'. A operação inclui várias campanhas que compartilham código, infraestrutura e táticas de monetização semelhantes. O malware é nomeado após a sequência encontrada em seu código:

define('DOLLY_WAY,' 'Dominação Mundial');

Como o DollyWay v3 Comprometeu Milhares de Sites no WordPress

O DollyWay v3 tem como alvo sites WordPress vulneráveis explorando falhas de n-day em plugins e temas. Uma vez que um site é comprometido, o malware redireciona os visitantes para sites maliciosos que oferecem namoro falso, jogos de azar, golpes de criptomoeda e sorteios.

Em fevereiro de 2025, a DollyWay é responsável por gerar mais de 10 milhões de impressões fraudulentas por mês, direcionando tráfego para páginas de golpes que são monetizadas por meio das redes de afiliados VexTrio e LosPollos. Esse processo de redirecionamento é gerenciado por meio de um Sistema de Direção de Tráfego (TDS) que filtra usuários com base em características específicas.

O Processo de Infecção em Três Estágios

  • Configuração de injeção e redirecionamento : o malware injeta um script no site usando wp_enqueue_script, carregando um segundo script inseguro do site comprometido.
  • Filtragem de tráfego : O segundo script analisa dados de referência do visitante, categorizando os alvos de redirecionamento. Os usuários não são redirecionados se eles:
  • Não há nenhum referenciador (quem visitou diretamente o site).
  • São detectados como bots.
  • São usuários logados do WordPress, incluindo administradores.
  • Redirecionamento final para páginas fraudulentas : três sites infectados aleatoriamente agem como nós TDS, carregando JavaScript oculto que redireciona o visitante para páginas de golpes VexTrio ou LosPollos. Esse redirecionamento só acontece quando o visitante clica em um elemento da página, tornando-o mais difícil de detectar.

As Técnicas de Persistência e Furtividade do DollyWay

A DollyWay desenvolveu uma série de técnicas para garantir sua persistência em sites infectados. Uma vez que compromete um site WordPress, o malware garante que ele seja reinfectado a cada carregamento de página, dificultando a remoção. Aqui estão suas principais táticas:

  • Espalhando código PHP entre plugins ativos.
  • Injetar código malicioso no plugin WPCode (uma ferramenta de terceiros usada para modificar o WordPress sem alterar os arquivos principais).
  • Ocultar o WPCode da lista de plugins o torna invisível para os administradores e mais difícil de remover.

Além disso, o malware cria contas de administrador ocultas com sequências hexadecimais aleatórias de 32 caracteres, que são visíveis apenas por meio de inspeção direta do banco de dados, garantindo que os invasores mantenham o controle sobre o site.

Conclusão: Uma Ameaça Persistente e em Evolução

DollyWay é uma campanha de malware contínua e resiliente que continua a evoluir com táticas cada vez mais sofisticadas. Sua capacidade de:

  • Reinfectar sites automaticamente
  • Evite a detecção por meio de scripts ocultos e contas de administrador
  • Monetize o tráfego de redirecionamento por meio de redes relacionadas a fraudes

…torna-se uma séria ameaça para proprietários de sites WordPress no mundo todo. Os administradores de sites devem permanecer vigilantes e atualizar temas, plugins e protocolos de segurança regularmente para mitigar os riscos de infecção.

Tendendo

Mais visto

Carregando...