{"id":23907,"date":"2025-06-18T10:59:30","date_gmt":"2025-06-18T13:59:30","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=23907"},"modified":"2025-06-18T10:59:30","modified_gmt":"2025-06-18T13:59:30","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/dollyway-world-domination-infects-wordpress-websites\/23907\/","title":{"rendered":"Domina\u00e7\u00e3o mundial pelo DollyWay: ataque a sites WordPress"},"content":{"rendered":"

Tendo em vista que pouco menos da metade de todos os sites no mundo s\u00e3o alimentados pelo sistema de gerenciamento de conte\u00fado do WordPress, n\u00e3o \u00e9 surpresa que os cibercriminosos procurem constantemente brechas para explor\u00e1-lo. Em mar\u00e7o passado, pesquisadores de seguran\u00e7a cibern\u00e9tica da empresa de hospedagem GoDaddy retrataram uma campanha<\/a> que come\u00e7ou em 2016 e, desde ent\u00e3o, j\u00e1 comprometeu mais de 20 mil sites WordPress ao redor do mundo.<\/p>\n

A campanha foi apelidada de \u201cDomina\u00e7\u00e3o mundial pelo DollyWay\u201d, pois encontraram uma linha de c\u00f3digo (define (\u2018DOLLY_WAY\u2019, \u2018World Domination\u2019)) no malware desta campanha. Como parte do DollyWay, os agentes de amea\u00e7as inserem scripts maliciosos com v\u00e1rios recursos em sites. Seu principal objetivo \u00e9 redirecionar os usu\u00e1rios dos sites leg\u00edtimos para p\u00e1ginas de terceiros. Em fevereiro de 2025, os especialistas haviam registrado mais de 10 mil sites WordPress infectados no mundo.<\/p>\n

Para sabotar os sites, os agentes maliciosos exploram vulnerabilidades em plug-ins e t\u00f3picos do WordPress. Eles come\u00e7am inserindo um script que aparenta ser inofensivo, e n\u00e3o levanta bandeiras vermelhas nos sistemas de seguran\u00e7a que executam a an\u00e1lise de c\u00f3digo HTML est\u00e1tico. O script age como um infiltrado furtivo, baixando silenciosamente c\u00f3digos mais perigosos que ser\u00e3o usados para criar perfis de v\u00edtimas, comunicar-se com servidores de comando e controle e, por fim, redirecionar os visitantes para sites infectados. Voc\u00ea pode ler o artigo de pesquisa original<\/a> para saber detalhadamente como esses scripts funcionam.<\/p>\n

Monetizar a campanha maliciosa<\/h2>\n

Os links de redirecionamento gerados pelo DollyWay incluem um identificador de afiliado, que \u00e9 bem parecido com o dos programas de indica\u00e7\u00e3o que blogueiros costumam usar para promover produtos ou servi\u00e7os. Esses identificadores permitem que os sites rastreiem a origem dos usu\u00e1rios. Os blogueiros costumam ganham uma comiss\u00e3o em cima de compras feitas por visitantes que utilizam os links de refer\u00eancia. A Campanha de domina\u00e7\u00e3o mundial pelo DollyWay \u00e9 monetizada da mesma forma, usando os programas de afiliados VexTrio e LosPollos.<\/p>\n

O VexTrio tem sido apelidado de \u201cUber do cibercrime\u201d<\/a>. Acredita-se que est\u00e1 ativo, pelo menos, desde 2017. O servi\u00e7o atua principalmente como um corretor de conte\u00fado fraudulento, como spywares, malwares, pornografia, entre outros. \u00c9 o VexTrio que redireciona o tr\u00e1fego do DollyWay para sites fraudulentos. Conforme observado acima, o malware cria o perfil de suas v\u00edtimas. E com base nesses perfis, os usu\u00e1rios s\u00e3o direcionados para v\u00e1rios tipos de sites, como sites falsos de namoro, golpes de criptografia ou p\u00e1ginas de jogos de azar.<\/p>\n

A LosPollos<\/a> aparentemente \u00e9 especializada na venda de tr\u00e1fego para servi\u00e7os leg\u00edtimos. Toda vez que o DollyWay redireciona o tr\u00e1fego para um site promovido pela LosPollos, esse redirecionamento inclui o mesmo identificador de conta de afiliado da LosPollos. A parceria da DollyWay com a LosPollos explica por que, em alguns casos, os redirecionamentos de sites infectados n\u00e3o levam os usu\u00e1rios a p\u00e1ginas maliciosas, mas as listas de aplicativos leg\u00edtimos na Google Play, como Tinder ou TikTok.<\/p>\n

Como o DollyWay se esconde em sites que infectou<\/h2>\n

Os cibercriminosos tomam muito cuidado para impedir que seu malware seja detectado e removido. Para come\u00e7ar, o c\u00f3digo malicioso \u00e9 injetado em todos os plug-ins ativos. E remov\u00ea-lo n\u00e3o \u00e9 f\u00e1cil, pois o DollyWay emprega um mecanismo avan\u00e7ado de reinfec\u00e7\u00e3o que \u00e9 acionado sempre que ocorre um acesso em uma p\u00e1gina no site comprometido. Se o c\u00f3digo malicioso n\u00e3o for removido de todos os plug-ins e snippets ativos, carregar qualquer p\u00e1gina no site resultar\u00e1 em uma reinfec\u00e7\u00e3o.<\/p>\n

Detectar o DollyWay n\u00e3o \u00e9 uma tarefa simples, pois o malware consegue ocultar sua presen\u00e7a em um site infectado. Para manter o acesso ao site comprometido, os invasores criam uma conta pr\u00f3pria com privil\u00e9gios de administrador e o DollyWay oculta essa conta do painel do WordPress.<\/p>\n

Caso essas contas sejam descobertas, os invasores tamb\u00e9m roubam as credenciais de administradores leg\u00edtimos. Para faz\u00ea-lo, o DollyWay monitora tudo o que \u00e9 inserido no formul\u00e1rio de login do administrador do site e salva os dados em um arquivo oculto.<\/p>\n

Os invasores tamb\u00e9m agem para garantir que seus ativos continuem funcionando. Os pesquisadores encontraram evid\u00eancias de um script que parecia ser usado pelos invasores para manter sites infectados. Esse script, especificamente, pode atualizar o WordPress, instalar e atualizar os componentes necess\u00e1rios e iniciar a inje\u00e7\u00e3o de c\u00f3digo malicioso.<\/p>\n

Os especialistas tamb\u00e9m descobriram um web shell que \u00e9 utilizado, entre outras coisas, para atualizar sites comprometidos e manter malwares rivais afastados. Isso mostra que os invasores desejam impedir que outro malware sequestre o tr\u00e1fego ou acione algum alarme de seguran\u00e7a que possa alertar o propriet\u00e1rio do site.<\/p>\n

Os especialistas acreditam que o script de manuten\u00e7\u00e3o e o web shell n\u00e3o s\u00e3o implementados em todos os sites infectados pelo DollyWay. Manter essa infraestrutura em todos os 10 mil locais exigiria um valor proibitivo. \u00c9 mais prov\u00e1vel que os invasores s\u00f3 implementem esses scripts em seus ativos mais valiosos.<\/p>\n

Prote\u00e7\u00e3o de site corporativo<\/h2>\n

A escala e a longevidade da campanha de domina\u00e7\u00e3o mundial pelo DollyWay mais uma vez ressaltam a necessidade de verifica\u00e7\u00f5es de seguran\u00e7a regulares em sites corporativos. Quando se trata de sites do WordPress, seus plug-ins e t\u00f3picos merecem aten\u00e7\u00e3o especial, pois j\u00e1 foi provado repetidamente que essas s\u00e3o as partes mais vulner\u00e1veis da infraestrutura da plataforma.<\/p>\n

Se voc\u00ea desconfia que o site de sua empresa foi v\u00edtima do DollyWay, os pesquisadores recomendam monitorar de perto os eventos de cria\u00e7\u00e3o e exclus\u00e3o de arquivos. Essa atividade pode ser um indicador de comprometimento, j\u00e1 que algumas vers\u00f5es do DollyWay v3 realizam opera\u00e7\u00f5es em arquivos sempre que uma p\u00e1gina \u00e9 carregada.<\/p>\n

Aqui est\u00e1 o que voc\u00ea precisa fazer se encontrar sinais de comprometimento.<\/p>\n