Investigadores de GoDaddy Security han detectado una operación de malware significativa, denominada «DollyWay», que revela una campaña sofisticada que ha comprometido más de 20.000 sitios web de WordPress a nivel mundial.
Esta operación, que se inició en 2016, utiliza una red distribuida de sitios web de WordPress comprometidos como nodos de un Sistema de Dirección de Tráfico (TDS) y de Comando y Control (C2).
La versión más reciente del malware, DollyWay v3, emplea técnicas avanzadas como transferencias de datos firmadas criptográficamente, métodos de inyección heterogéneos y mecanismos de reinfección automática para mantener el control sobre los sitios infectados.
DollyWay v3 se dirige principalmente a los visitantes de sitios de WordPress infectados mediante la inyección de scripts de redireccionamiento que canalizan el tráfico a través de VexTrio, una importante red de afiliados cibercriminales.
El malware utiliza una cadena de inyección de cuatro etapas para evadir la detección.
Inicialmente, agrega un script generado dinámicamente a la URL principal del sitio, que luego carga scripts posteriores que recopilan información de referencia y, finalmente, redirigen a los usuarios a páginas fraudulentas.
El malware también elimina el malware de la competencia y actualiza WordPress para garantizar su persistencia.
El mecanismo de reinfección es particularmente sofisticado e implica la inyección de código PHP malicioso en complementos activos y fragmentos de WPCode.
Según el informe, este código se vuelve a ofuscar periódicamente para evadir la detección, lo que dificulta su eliminación.
Además, el malware crea usuarios administradores maliciosos con nombres de usuario y direcciones de correo electrónico hexadecimales aleatorios, lo que complica aún más los esfuerzos de limpieza.
DollyWay mantiene su infraestructura a través de opciones codificadas de WordPress, almacenando configuraciones en un formato sofisticado.
El malware actualiza su lista de nodos diariamente utilizando firmas criptográficas para verificar la integridad de los datos.
Esto garantiza que solo se apliquen actualizaciones autorizadas, protegiendo el control del malware sobre los sitios comprometidos.
El uso de sitios de WordPress comprometidos como nodos C2/TDS permite que el malware se adapte y evolucione, lo que lo convierte en una amenaza formidable en el panorama de la ciberseguridad.
La evolución continua de DollyWay destaca la creciente sofisticación de las campañas de malware y la necesidad de medidas de seguridad sólidas para protegerse contra dichas amenazas.
A medida que la campaña continúa adaptándose, sigue siendo una preocupación importante tanto para los propietarios de sitios de WordPress como para los profesionales de la ciberseguridad.
