Wordpress

Dominação mundial pelo DollyWay: ataque a sites WordPress

Desde 2016, um agente de ameaças explora plug-ins e assuntos duvidosos com intuito de infectar sites WordPress e redirecionar seu tráfego para sites maliciosos.

Alanna Titterington
18 jun 2025

Tendo em vista que pouco menos da metade de todos os sites no mundo são alimentados pelo sistema de gerenciamento de conteúdo do WordPress, não é surpresa que os cibercriminosos procurem constantemente brechas para explorá-lo. Em março passado, pesquisadores de segurança cibernética da empresa de hospedagem GoDaddy retrataram uma campanha que começou em 2016 e, desde então, já comprometeu mais de 20 mil sites WordPress ao redor do mundo.

A campanha foi apelidada de “Dominação mundial pelo DollyWay”, pois encontraram uma linha de código (define (‘DOLLY_WAY’, ‘World Domination’)) no malware desta campanha. Como parte do DollyWay, os agentes de ameaças inserem scripts maliciosos com vários recursos em sites. Seu principal objetivo é redirecionar os usuários dos sites legítimos para páginas de terceiros. Em fevereiro de 2025, os especialistas haviam registrado mais de 10 mil sites WordPress infectados no mundo.

Para sabotar os sites, os agentes maliciosos exploram vulnerabilidades em plug-ins e tópicos do WordPress. Eles começam inserindo um script que aparenta ser inofensivo, e não levanta bandeiras vermelhas nos sistemas de segurança que executam a análise de código HTML estático. O script age como um infiltrado furtivo, baixando silenciosamente códigos mais perigosos que serão usados para criar perfis de vítimas, comunicar-se com servidores de comando e controle e, por fim, redirecionar os visitantes para sites infectados. Você pode ler o artigo de pesquisa original para saber detalhadamente como esses scripts funcionam.

Monetizar a campanha maliciosa

Os links de redirecionamento gerados pelo DollyWay incluem um identificador de afiliado, que é bem parecido com o dos programas de indicação que blogueiros costumam usar para promover produtos ou serviços. Esses identificadores permitem que os sites rastreiem a origem dos usuários. Os blogueiros costumam ganham uma comissão em cima de compras feitas por visitantes que utilizam os links de referência. A Campanha de dominação mundial pelo DollyWay é monetizada da mesma forma, usando os programas de afiliados VexTrio e LosPollos.

O VexTrio tem sido apelidado de “Uber do cibercrime”. Acredita-se que está ativo, pelo menos, desde 2017. O serviço atua principalmente como um corretor de conteúdo fraudulento, como spywares, malwares, pornografia, entre outros. É o VexTrio que redireciona o tráfego do DollyWay para sites fraudulentos. Conforme observado acima, o malware cria o perfil de suas vítimas. E com base nesses perfis, os usuários são direcionados para vários tipos de sites, como sites falsos de namoro, golpes de criptografia ou páginas de jogos de azar.

A LosPollos aparentemente é especializada na venda de tráfego para serviços legítimos. Toda vez que o DollyWay redireciona o tráfego para um site promovido pela LosPollos, esse redirecionamento inclui o mesmo identificador de conta de afiliado da LosPollos. A parceria da DollyWay com a LosPollos explica por que, em alguns casos, os redirecionamentos de sites infectados não levam os usuários a páginas maliciosas, mas as listas de aplicativos legítimos na Google Play, como Tinder ou TikTok.

Como o DollyWay se esconde em sites que infectou

Os cibercriminosos tomam muito cuidado para impedir que seu malware seja detectado e removido. Para começar, o código malicioso é injetado em todos os plug-ins ativos. E removê-lo não é fácil, pois o DollyWay emprega um mecanismo avançado de reinfecção que é acionado sempre que ocorre um acesso em uma página no site comprometido. Se o código malicioso não for removido de todos os plug-ins e snippets ativos, carregar qualquer página no site resultará em uma reinfecção.

Detectar o DollyWay não é uma tarefa simples, pois o malware consegue ocultar sua presença em um site infectado. Para manter o acesso ao site comprometido, os invasores criam uma conta própria com privilégios de administrador e o DollyWay oculta essa conta do painel do WordPress.

Caso essas contas sejam descobertas, os invasores também roubam as credenciais de administradores legítimos. Para fazê-lo, o DollyWay monitora tudo o que é inserido no formulário de login do administrador do site e salva os dados em um arquivo oculto.

Os invasores também agem para garantir que seus ativos continuem funcionando. Os pesquisadores encontraram evidências de um script que parecia ser usado pelos invasores para manter sites infectados. Esse script, especificamente, pode atualizar o WordPress, instalar e atualizar os componentes necessários e iniciar a injeção de código malicioso.

Os especialistas também descobriram um web shell que é utilizado, entre outras coisas, para atualizar sites comprometidos e manter malwares rivais afastados. Isso mostra que os invasores desejam impedir que outro malware sequestre o tráfego ou acione algum alarme de segurança que possa alertar o proprietário do site.

Os especialistas acreditam que o script de manutenção e o web shell não são implementados em todos os sites infectados pelo DollyWay. Manter essa infraestrutura em todos os 10 mil locais exigiria um valor proibitivo. É mais provável que os invasores só implementem esses scripts em seus ativos mais valiosos.

Proteção de site corporativo

A escala e a longevidade da campanha de dominação mundial pelo DollyWay mais uma vez ressaltam a necessidade de verificações de segurança regulares em sites corporativos. Quando se trata de sites do WordPress, seus plug-ins e tópicos merecem atenção especial, pois já foi provado repetidamente que essas são as partes mais vulneráveis da infraestrutura da plataforma.

Se você desconfia que o site de sua empresa foi vítima do DollyWay, os pesquisadores recomendam monitorar de perto os eventos de criação e exclusão de arquivos. Essa atividade pode ser um indicador de comprometimento, já que algumas versões do DollyWay v3 realizam operações em arquivos sempre que uma página é carregada.

Aqui está o que você precisa fazer se encontrar sinais de comprometimento.

Tire temporariamente o site afetado do ar, redirecionando todo o tráfego para uma página estática. Ou, pelo menos, desative todos os plug-ins enquanto estiver removendo o malware.
Remova todos os plug-ins suspeitos, mas não se esqueça que o DollyWay sabe escondê-los do painel do WordPress.
Exclua todas contas de administrador que não reconhecer. Lembramos novamente que o DollyWay também pode ocultá-las.
Altere as senhas de todos os usuários do WordPress, começando com qualquer pessoa que tenha privilégios de administrador.
Ative a autenticação de dois fatores para o login no WordPress.
Se os recursos da equipe interna de segurança da informação não forem suficientes, procure ajuda de especialistas em resposta a incidentes

Como comprar e conectar um eSIM de viagem com a Kaspersky eSIM Store

Internet móvel com a Kaspersky eSIM Store

Lançamos a Kaspersky eSIM Store, uma maneira fácil de comprar e ativar cartões eSIM, oferecendo acesso instantâneo à Internet no celular em mais de 150 países e regiões em todo o mundo.

FERRAMENTAS GRATUITAS

Dominação mundial pelo DollyWay: ataque a sites WordPress

Monetizar a campanha maliciosa

Como o DollyWay se esconde em sites que infectou

Proteção de site corporativo

Como sobreviver à digitalização

Segurança de nível “B”: três vulnerabilidades no Sitecore CMS

Internet móvel com a Kaspersky eSIM Store

Dicas

Viaje com segurança e conforto

Chaves de acesso em 2025: o guia completo para o login sem senha

Como escolher soluções de código aberto para sua organização

O barato que sai caro: os riscos de usar um SIEM gratuito na sua empresa

Inscreva-se para receber nossos destaques em seu e-mail

Soluções domésticas

Produtos para pequenas empresas

Produtos para empresas médias

Soluções corporativas

Securelist

Eugene Personal Blog