Uma campanha de malware denominada DollyWay está em curso desde 2016, afetando mais de 20 mil sites WordPress ao redor do mundo. O objetivo é redirecionar visitantes para páginas fraudulentas e golpes online, aproveitando falhas de segurança para se infiltrar e persistir nos sistemas comprometidos.
Malware DollyWay compromete 20 mil sites WordPress com redirecionamentos maliciosos
O malware evoluiu ao longo dos anos, empregando métodos avançados para evitar detecção, reinfetar continuamente os sites e gerar receita por meio de redes de afiliados. De acordo com Denis Sinegubko, pesquisador da GoDaddy, a versão mais recente, DollyWay v3, foca no redirecionamento de tráfego para páginas de golpes, incluindo sites falsos de apostas, criptomoedas e relacionamentos. No passado, variantes desse malware também distribuíram ameaças como ransomware e trojans bancários.
Conexão com outras campanhas de malware
Pesquisadores da GoDaddy identificaram que diversas campanhas anteriormente consideradas isoladas estão, na verdade, interligadas pelo mesmo agente de ameaça. A operação DollyWay World Domination compartilha infraestrutura, padrões de código e métodos de monetização semelhantes. O nome vem da string de código define(‘DOLLY_WAY’, ‘World Domination’), encontrada em algumas variantes do malware.
Como o DollyWay infecta sites WordPress
O malware explora vulnerabilidades conhecidas em plugins e temas WordPress desatualizados. Uma vez comprometido, o site passa a servir como intermediário para redirecionar tráfego de visitantes para redes fraudulentas como VexTrio e LosPollos.
A estrutura de ataque ocorre em três estágios:
- Injeção de Script: O código malicioso é inserido nos arquivos do site usando o comando wp_enqueue_script, carregando um segundo script responsável por coletar dados sobre os visitantes.
- Filtragem de Tráfego: O malware usa um Sistema de Direcionamento de Tráfego (TDS) para determinar se um visitante deve ser redirecionado. Bots, administradores logados e visitantes diretos geralmente não são afetados.
- Redirecionamento Final: O script seleciona três sites comprometidos aleatoriamente para intermediar a conexão e, por fim, envia o visitante para páginas fraudulentas.
Persistência e reinfecção automática
Uma das características mais perigosas do DollyWay é sua capacidade de auto-reinfecção. Mesmo que os administradores limpem os arquivos comprometidos, o malware reaparece constantemente. Ele se espalha de várias formas:
- Infecta plugins ativos, adicionando código ofuscado que reinstala a praga a cada carregamento de página.
- Cria usuários administradores ocultos, que só podem ser detectados via inspeção direta no banco de dados.
- Adiciona uma versão maliciosa do plugin WPCode, escondendo-o da lista de plugins visíveis no painel do WordPress.
Como proteger seu site
Para evitar infecções pelo DollyWay, administradores de sites WordPress devem:
- Manter plugins e temas sempre atualizados para minimizar vulnerabilidades.
- Remover plugins não utilizados ou desnecessários que possam ser explorados por hackers.
- Monitorar o tráfego do site em busca de comportamentos incomuns, como redirecionamentos inesperados.
- Verificar regularmente a lista de usuários administradores para identificar contas suspeitas.
- Realizar escaneamentos de segurança usando ferramentas como Wordfence ou Sucuri para detectar código malicioso.
A GoDaddy também divulgou uma lista completa de indicadores de comprometimento (IoCs) para ajudar administradores a identificarem sinais de infecção. Mais detalhes sobre as mudanças táticas da operação devem ser publicados em breve.
