Una operación maliciosa apodada “Dollyway” ha estado en marcha desde 2016, comprometiendo más de 20,000 sitios de WordPress en todo el mundo para redirigir a los usuarios al malware.
La campaña ha evolucionado significativamente en los últimos ocho años, aprovechando las estrategias avanzadas de escape, reinfección y monetización.
Según el investigador de GoDaddy, Denis Sinegubko, Dollyway ha trabajado como un sistema de estafa a gran escala en su última versión (V3). Sin embargo, en el pasado, ha distribuido cargas útiles más dañinas, como el ransomware y los caballos de los troyanos bancarios.
“Los investigadores de seguridad de GoDaddy han descubierto evidencia que une varias campañas de malware en una sola operación de larga data que hemos llamado” Dollyway World Domation “, explica una reciente Informe de GoDaddy.
“Aunque se considera campañas separadas, nuestra investigación revela que estos ataques comparten infraestructura común, modelos de código y métodos de monetización, todos parecen estar conectados a un solo actor de amenaza sofisticada.
“La operación lleva el nombre de la próxima cadena reveladora, que está en ciertas variaciones en malware: define (‘dolly_way’, ‘dominación mundial’)”.
Miles de infecciones furtivas
Dollyway V3 es una operación de redirección avanzada que se dirige a sitios vulnerables de WordPress que usan defectos diarios en complementos y temas para comprometerlos.
En febrero de 2025, Dollyway generó 10 millones de impresiones fraudulentas por mes al redirigir a los visitantes al sitio de WordPress para reuniones falsas, juegos de azar, criptografía y sitios de dibujo.
Fuente: GoDaddy
La campaña está monetizada a través de las redes de afiliados de Vextrio y Lospolos después de filmar a los visitantes a través de un sistema de gestión de tráfico (TDS).
Un sistema de distribución de tráfico analiza y redirige el tráfico web de acuerdo con varios aspectos de un visitante, como su ubicación, su tipo de dispositivo y su referencia. Los ciberdelincuentes generalmente utilizan sistemas TDS maliciosos para redirigir a los usuarios a sitios de phishing o descargas de malware.
Los sitios web se violan a través de una inyección de script con ‘wp_enqueue_script’, que carga dinámicamente un segundo script del sitio comprometido.
El segundo paso recopila los datos de los visitantes para ayudar a clasificar el tráfico de redirección, luego carga el script TDS que decide la validez de los objetivos.
Los visitantes directos del sitio web que no tienen referencia, no son robots (el script tiene una lista codificada por pérdidas de 102 bots conocidos) y no están conectados a los usuarios de WordPress (incluidos los administradores) se consideran inválidos y no se redirigen.
El tercer paso selecciona tres sitios infectados aleatorios para servir como nodos TDS, luego carga JavaScript oculta de uno de ellos para realizar la redirección final a las páginas de Vextrio o la estafa de Lospolos.
Fuente: GoDaddy
El malware utiliza parámetros de monitoreo de afiliados para garantizar que los atacantes se paguen por cada redirección.
Cabe señalar que la redirección final solo ocurre cuando el visitante interactúa con un elemento de página (clics), escapando de las herramientas de escaneo pasivo que solo examinan los cargos de la página.
La reinfección automática garantiza la persistencia
SineGubko explica que Dollyway es una amenaza muy persistente que reinfecta automáticamente un sitio con cada carga de página, por lo que eliminarlo es particularmente difícil.
Tiene éxito distribuyendo su código PHP en todos los complementos activos y también agrega una copia del complemento WPCode (si aún no está instalado) que contiene extractos de software malicioso oscurecido.
WPCode es un complemento de tercera parte que permite a los administradores agregar pequeños extractos de “código” que modifican las funciones de WordPress sin editar directamente archivos de tema o código de WordPress.
Fuente: GoDaddy
Como parte de un ataque, los Pirates enmascaran WPCode de la lista de complementos de WordPress para que los administradores no puedan verlo o eliminarlo, lo que hace que la desinfección sea complicada.
Dollyway también crea usuarios de administración que llevan el nombre de canales hexadecimales aleatorios de 32 caracteres y mantiene estas cuentas ocultas en el panel de administración. Solo son visibles por la inspección directa de la base de datos.
GoDaddy ha compartido la lista completa de indicadores de compromiso (COI) asociados con Dollyway para ayudar a defenderse de esta amenaza.
Publicará más detalles sobre la infraestructura de la operación y las tácticas de intercambio en un artículo de seguimiento.
Basado en un análisis de las acciones maliciosas de 14 millones, descubra las 10 técnicas principales ATTR & CK con el 93% de los ataques y cómo defenderse contra ellos.