Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Campaña de malware DollyWay

Campaña de malware DollyWay

Por Mezo en Software malicioso
Traducir a:
Español

DollyWay, una operación de malware activa desde 2016, ha comprometido más de 20 000 sitios de WordPress en todo el mundo. Esta campaña continua se ha vuelto más sofisticada con los años, perfeccionando sus estrategias de evasión, reinfección y monetización, convirtiéndola en una amenaza significativa para la seguridad de los sitios web.

La evolución de DollyWay hacia un sistema de redirección táctica

Inicialmente, DollyWay distribuía ransomware y troyanos bancarios, lo que representaba una amenaza directa para los visitantes del sitio. Sin embargo, en su versión actual (DollyWay v3), el malware ha cambiado su enfoque y ahora funciona como un sistema de redirección fraudulento, dirigiendo a los usuarios a sitios fraudulentos.

Investigaciones recientes han revelado que DollyWay forma parte de una operación más extensa y de larga duración conocida como «DollyWay World Domination». Esta operación incluye múltiples campañas que comparten código, infraestructura y tácticas de monetización similares. El malware recibe su nombre de la cadena presente en su código:

Cómo DollyWay v3 compromete miles de sitios de WordPress

DollyWay v3 ataca sitios vulnerables de WordPress explotando vulnerabilidades de día n en plugins y temas. Una vez comprometido un sitio, el malware redirige a los visitantes a sitios maliciosos que ofrecen estafas falsas de citas, juegos de azar, criptomonedas y sorteos.

Desde febrero de 2025, DollyWay genera más de 10 millones de impresiones fraudulentas al mes, redirigiendo el tráfico a páginas fraudulentas monetizadas a través de las redes de afiliados de VexTrio y LosPollos. Este proceso de redirección se gestiona mediante un Sistema de Dirección de Tráfico (TDS) que filtra a los usuarios según características específicas.

El proceso de infección en tres etapas

  • Configuración de inyección y redirección : el malware inyecta un script en el sitio usando wp_enqueue_script y carga un segundo script inseguro desde el sitio comprometido.
  • Filtrado de tráfico : El segundo script analiza los datos de referencia de los visitantes y categoriza los objetivos de redirección. Los usuarios no son redirigidos si:
  • No hay ningún referente (que visitó directamente el sitio web).
  • Son detectados como bots.
  • Son usuarios de WordPress que han iniciado sesión, incluidos los administradores.
  • Redirección final a páginas fraudulentas : Tres sitios infectados aleatoriamente actúan como nodos TDS, cargando JavaScript oculto que redirige al visitante a páginas fraudulentas de VexTrio o LosPollos. Esta redirección solo ocurre cuando el visitante hace clic en un elemento de la página, lo que dificulta su detección.

Técnicas de persistencia y sigilo de DollyWay

DollyWay ha desarrollado diversas técnicas para asegurar su persistencia en sitios infectados. Una vez que compromete un sitio de WordPress, el malware se reinfecta con cada carga de página, lo que dificulta su eliminación. Estas son sus tácticas clave:

  • Distribuir código PHP entre complementos activos.
  • Inyectar código malicioso en el complemento WPCode (una herramienta de terceros utilizada para modificar WordPress sin alterar los archivos principales).
  • Ocultar WPCode de la lista de complementos lo hace invisible para los administradores y más difícil de eliminar.

Además, el malware crea cuentas de administrador ocultas con cadenas hexadecimales aleatorias de 32 caracteres, que solo son visibles mediante la inspección directa de la base de datos, lo que garantiza que los atacantes mantengan el control del sitio.

Conclusión: Una amenaza persistente y en evolución

DollyWay es una campaña de malware continua y resistente que continúa evolucionando con tácticas cada vez más sofisticadas. Su capacidad para:

  • Reinfectar sitios automáticamente
  • Evadir la detección mediante scripts ocultos y cuentas de administrador
  • Monetizar el tráfico de redirección a través de redes relacionadas con el fraude

…lo convierte en una seria amenaza para los propietarios de sitios web de WordPress en todo el mundo. Los administradores de sitios web deben mantenerse alerta y actualizar los temas, plugins y protocolos de seguridad con regularidad para mitigar los riesgos de infección.

Tendencias

Mas Visto

Cargando...