Ameaça persistente

Campanha de malware DollyWay compromete 20 mil sites WordPress

Desde 2016, a campanha de malware DollyWay compromete sites WordPress globalmente, redirecionando visitantes para páginas maliciosas. Utilizando falhas de segurança, reinfecção e monetização via redes de afiliados, a operação persiste há anos.

20/03/2025 07:30

Uma campanha de malware denominada DollyWay está em curso desde 2016, afetando mais de 20 mil sites WordPress ao redor do mundo. O objetivo é redirecionar visitantes para páginas fraudulentas e golpes online, aproveitando falhas de segurança para se infiltrar e persistir nos sistemas comprometidos.

Malware DollyWay compromete 20 mil sites WordPress com redirecionamentos maliciosos

Imagem com a logomarca do WordPress com fundo vermelho

O malware evoluiu ao longo dos anos, empregando métodos avançados para evitar detecção, reinfetar continuamente os sites e gerar receita por meio de redes de afiliados. De acordo com Denis Sinegubko, pesquisador da GoDaddy, a versão mais recente, DollyWay v3, foca no redirecionamento de tráfego para páginas de golpes, incluindo sites falsos de apostas, criptomoedas e relacionamentos. No passado, variantes desse malware também distribuíram ameaças como ransomware e trojans bancários.

Conexão com outras campanhas de malware

Pesquisadores da GoDaddy identificaram que diversas campanhas anteriormente consideradas isoladas estão, na verdade, interligadas pelo mesmo agente de ameaça. A operação DollyWay World Domination compartilha infraestrutura, padrões de código e métodos de monetização semelhantes. O nome vem da string de código define(‘DOLLY_WAY’, ‘World Domination’), encontrada em algumas variantes do malware.

Como o DollyWay infecta sites WordPress

O malware explora vulnerabilidades conhecidas em plugins e temas WordPress desatualizados. Uma vez comprometido, o site passa a servir como intermediário para redirecionar tráfego de visitantes para redes fraudulentas como VexTrio e LosPollos.

A estrutura de ataque ocorre em três estágios:

Injeção de Script: O código malicioso é inserido nos arquivos do site usando o comando wp_enqueue_script, carregando um segundo script responsável por coletar dados sobre os visitantes.
Filtragem de Tráfego: O malware usa um Sistema de Direcionamento de Tráfego (TDS) para determinar se um visitante deve ser redirecionado. Bots, administradores logados e visitantes diretos geralmente não são afetados.
Redirecionamento Final: O script seleciona três sites comprometidos aleatoriamente para intermediar a conexão e, por fim, envia o visitante para páginas fraudulentas.

Persistência e reinfecção automática

Uma das características mais perigosas do DollyWay é sua capacidade de auto-reinfecção. Mesmo que os administradores limpem os arquivos comprometidos, o malware reaparece constantemente. Ele se espalha de várias formas:

Infecta plugins ativos, adicionando código ofuscado que reinstala a praga a cada carregamento de página.
Cria usuários administradores ocultos, que só podem ser detectados via inspeção direta no banco de dados.
Adiciona uma versão maliciosa do plugin WPCode, escondendo-o da lista de plugins visíveis no painel do WordPress.

Como proteger seu site

Para evitar infecções pelo DollyWay, administradores de sites WordPress devem:

Manter plugins e temas sempre atualizados para minimizar vulnerabilidades.
Remover plugins não utilizados ou desnecessários que possam ser explorados por hackers.
Monitorar o tráfego do site em busca de comportamentos incomuns, como redirecionamentos inesperados.
Verificar regularmente a lista de usuários administradores para identificar contas suspeitas.
Realizar escaneamentos de segurança usando ferramentas como Wordfence ou Sucuri para detectar código malicioso.

A GoDaddy também divulgou uma lista completa de indicadores de comprometimento (IoCs) para ajudar administradores a identificarem sinais de infecção. Mais detalhes sobre as mudanças táticas da operação devem ser publicados em breve.

Jardeson Márcio

Mais Notícias

Mais artigos

Imagem de caveira e chave representando o Ransomware

Cibersegurança global

Falha crítica no Windows facilita ataque com ransomware PipeMagic

Uma falha crítica no CLFS do Windows permitiu que o trojan PipeMagic fosse usado para distribuir ransomware em ataques direcionados a setores estratégicos, explorando a vulnerabilidade CVE-2025-29824.

Vulnerabilidades críticas em switches Moxa permitem acesso não autorizado

Segurança cibernética

Ataques com malware de criptomoeda se espalham por softwares falsos no SourceForge

Cibercriminosos usam páginas falsas no SourceForge para espalhar malwares de criptomoeda disfarçados de softwares crackeados, atingindo principalmente usuários russos.

nova-variante-de-botnet-mirai-mira-em-vulnerabilidades-em-servidores-baseados-em-linux-e-dispositivos-iot

Segurança digital

Ataques Mirai visam DVR TVT e ampliam rede de bots

Nova botnet baseada no Mirai está explorando uma vulnerabilidade nos DVRs TVT NVMS9000, visando transformar os dispositivos em nós para ataques DDoS, proxies maliciosos e mineração. Alvo principal inclui EUA e Europa.

Código inseguro

Extensões maliciosas no VSCode disfarçam mineração de criptomoedas

Pesquisadores identificam nove extensões no VSCode Marketplace que, ao invés de ajudarem desenvolvedores, instalam um minerador de criptomoedas escondido no sistema.

Segurança digital

Pacote malicioso no PyPI explora WooCommerce para validar cartões roubados

Um pacote malicioso chamado 'disgrasya' foi baixado mais de 34 mil vezes no PyPI para validar cartões roubados via lojas WooCommerce. A ameaça mostra a crescente sofisticação dos ataques de carding automatizados.

Ameaça digital

Microsoft alerta sobre golpes fiscais via e-mail usando PDFs e códigos QR para espalhar malware

Microsoft identifica campanhas de phishing explorando temas tributários para distribuir malware via e-mails falsos. Códigos QR e PDFs maliciosos redirecionam vítimas para roubo de credenciais e instalação de trojans.