Os sites de WordPress tendem a ser um alvo para tentativas de ataques recorrentes, e de tempos a tempos, descobrem-se campanhas que podem ter permanecido ativas durante bastante tempo e escaparam do radar de muitos.
É exatamente isso que aconteceu de forma recente, com a campanha “DollyWay”, que se acredita ter infetado mais de 20 mil sites WordPress desde 2016. O malware tem como objetivo alterar o código do site para redirecionar os visitantes, de forma aleatória, para sites maliciosos.
De acordo com o investigador Denis Sinegubko, que descobriu esta campanha, o DollyWay tem vindo a sofrer mudanças ao longo dos anos, e encontra-se atualmente na terceira geração. Embora atualmente seja mais usado para redirecionar os visitantes dos sites para conteúdos maliciosos, no passado o mesmo estaria a diretamente fornecer malware aos mesmos, como ransomware e trojans, que eram descarregados para os sistemas.
A campanha tinha o nome de DollyWay World Domination, e aparenta ser uma operação de longo prazo, focada em infetar o máximo de sites possíveis – embora de forma lenta e meticulosa. A ideia não será infetar muitos sites ao mesmo tempo, mas sim ir infetando ao longo do tempo e evitar a identificação das atividades.
O malware tenta infetar os sites explorando falhas conhecidas em diversos plugins e temas, e caso as encontre, aplica um sistema inteligente de redireccionamento. O mesmo não é aplicado em todas as visitas de igual forma – caso a pessoa a aceder seja o administrador do site, o redireccionamento não é aplicado para evitar levantar suspeitas.
Acredita-se que, em Fevereiro de 2025, o DollyWay World Domination tenha criado mais de 10 milhões de cliques falsos para sites de dating, esquemas de criptomoedas e similares. O sistema era ainda capaz de direcionar os utilizadores com base em vários aspetos, como o dispositivo de onde se encontram a aceder e o país, aplicando diretamente links de afiliado nos mesmos.
O malware possui mesmo capacidade de se replicar dentro da instalação, portanto caso os utilizadores dos sites verifiquem que foram afetados, e tentem remover o mesmo, este volta a replicar-se por outros ficheiros.
Como sempre, a primeira linha de defesa parte dos próprios administradores dos sites, que devem garantir que usam plugins e temas atualizados. Este malware explora falhas que sejam conhecidas de plugins desatualizados e de temas, para levar à infeção.
Nenhum comentário
Seja o primeiro!