Схема вредоносного ПО DollyWay заразила более 20 000 сайтов на WordPress

Исследователи в области безопасности от GoDaddy обнаружили массовую операцию по распространению вредоносного ПО под названием «DollyWay World Domination», которая с 2016 года незаметно заражает более 20 000 веб-сайтов.

Кампания, названная в честь строки кода, обнаруженной в вредоносном программном обеспечении, использует взломанные сайты WordPress для обмана посетителей, которые кликают по мошенническим страницам, принося атакующим миллионы долларов.

Операция развивалась на протяжении многих лет, начиная с 2016 года с кампаний, таких как Master134 и Fake Browser Updates. Последняя версия, DollyWay v3, является очень продвинутой, используя хитрые трюки, чтобы оставаться незамеченной.

Например, она может автоматически повторно заражать веб-сайты, удалять другие вредоносные программы, и даже обновлять WordPress для того, чтобы сайт продолжал работать без сбоев, в то время как скрывает свою вредоносную активность.

Вот как это работает: когда вы посещаете зараженный сайт, вредоносное ПО тайно перенаправляет вас на мошеннические страницы, часто связанные с знакомствами, криптовалютами или азартными играми. Эти мошеннические схемы являются частью большой сети, которую управляют киберпреступники под названием VexTrio. Вредоносное ПО настолько хитрое, что избегает обнаружения, игнорируя ботов, авторизованных пользователей и даже местных посетителей.

По состоянию на февраль 2025 года, более 10 000 сайтов на WordPress заражены, генерируя около 10 миллионов вредоносных просмотров страниц каждый месяц. Вредоносное ПО разработано так, чтобы оставаться скрытым, что затрудняет обнаружение проблемы владельцами сайтов.

Одной из самых тревожных особенностей DollyWay v3 является его способность постоянно перезаражать сайты. Каждый раз, когда кто-то посещает зараженный сайт, вредоносное ПО проверяет, все ли остается под его контролем. Если оно обнаруживает какие-либо плагины безопасности, оно их отключает. Оно также прячет вредоносный код внутри законных плагинов и фрагментов WPCode, что делает его еще более трудным для обнаружения и удаления.

Атакующие также создают скрытые учетные записи администратора с случайными именами пользователей и адресами электронной почты. Эти учетные записи позволяют им в любое время получить доступ к сайту, даже если оригинальный администратор пытается их удалить. В некоторых случаях вредоносное ПО даже крадет логин и пароль настоящего администратора для поддержания доступа.

Чтобы усугубить ситуацию, вредоносное программное обеспечение использует продвинутое шифрование для защиты своего кода и обеспечения контроля над ним только для злоумышленников. Он также использует сеть из 14 зараженных веб-сайтов, называемых узлами TDS, для управления перенаправлениями мошенничества. Эти узлы обновляются ежедневно, чтобы обеспечить бесперебойную работу операции.

Владельцам сайтов настоятельно рекомендуется проверять свои сайты на наличие признаков заражения, таких как неожиданные перенаправления или странные учетные записи администраторов. Использование мощных плагинов безопасности и своевременное обновление WordPress могут помочь защититься от такого рода атак.