WordPress: malware "DollyWay" ha violato 20.000 di siti web

Un'operazione malware denominata "DollyWay", corso dal 2016, sta compromettendo oltre 20.000 siti WordPress per reindirizzare gli utenti a siti dannosi. La campagna si è evoluta in modo significativo negli ultimi otto anni, sfruttando strategie avanzate di evasione, reinfezione e monetizzazione. Secondo il ricercatore di GoDaddy, Denis Sinegubko, DollyWay ha funzionato come un sistema di reindirizzamento delle truffe su larga scala nella sua ultima versione (v3). Tuttavia, in passato, ha distribuito payload più dannosi come ransomware e trojan bancari. DollyWay v3 è un'operazione di reindirizzamento avanzata che prende di mira i siti WordPress vulnerabili utilizzando difetti n-day su plugin e temi per comprometterli.

Da febbraio 2025, DollyWay genera 10 milioni di impressioni fraudolente al mese reindirizzando i visitatori a falsi siti di incontri, gioco d'azzardo, criptovalute e lotterie. La campagna viene monetizzata tramite reti affiliate VexTrio e LosPollos dopo aver filtrato i visitatori tramite un Traffic Direction System. Un TDS analizza e reindirizza il traffico web in base a vari aspetti di un visitatore, come la sua posizione, il tipo di dispositivo e il referrer. I criminali informatici usano comunemente sistemi TDS dannosi per reindirizzare gli utenti a siti di phishing o download di malware. I siti web vengono violati tramite un'iniezione di script con 'wp_enqueue_script', che carica dinamicamente un secondo script dal sito compromesso.

La seconda fase raccoglie i dati del referrer dei visitatori per aiutare a categorizzare il traffico di reindirizzamento e quindi carica lo script TDS che decide sulla validità degli obiettivi. La terza fase seleziona tre siti infetti casuali da utilizzare come nodi TDS. In seguito, carica JavaScript nascosto da uno di essi per eseguire il reindirizzamento finale alle pagine truffa VexTrio o LosPollos. Il malware utilizza parametri di tracciamento degli affiliati per garantire che gli aggressori vengano pagati per ogni reindirizzamento.

WordPress: rimuovere il malware DollyWay è particolarmente difficile

Vale la pena notare che il reindirizzamento finale avviene solo quando il visitatore interagisce con un elemento della pagina (clic), eludendo gli strumenti di scansione passiva che esaminano solo i caricamenti delle pagine. Sinegubko spiega che DollyWay è una minaccia molto persistente che reinfetta automaticamente un sito a ogni caricamento di pagina, quindi rimuoverla è particolarmente difficile. Sinegubko spiega che DollyWay è una minaccia persistente che reinfetta automaticamente un sito a ogni caricamento della pagina, rendendone difficile la rimozione. Si diffonde inserendo codice PHP in tutti i plugin attivi e installando una copia del plugin WPCode, se non già presente.

WPCode è un plugin di terze parti che permette agli amministratori di aggiungere piccoli frammenti di codice per modificare WordPress senza alterare i file del tema. Come parte di un attacco, gli hacker nascondono WPCode dall'elenco dei plugin di WordPress in modo che gli amministratori non possano vederlo o eliminarlo, rendendo complicato rimuoverlo. DollyWay crea anche utenti amministratori denominati in base a stringhe esadecimali casuali di 32 caratteri e mantiene nascosti tali account nel pannello di amministrazione. Sono visibili solo tramite l'ispezione diretta del database. GoDaddy ha condiviso l'elenco completo degli indicatori di compromissione (IoC) associati a DollyWay per aiutare a difendersi da questa minaccia. La società pubblicherà presto maggiori dettagli sull'infrastruttura dell'operazione e sulle tattiche mutevoli in un post di follow-up.