Lo Schema Malware DollyWay Infetta Oltre 20.000 Siti WordPress

I ricercatori del team di sicurezza di GoDaddy hanno scoperto una massiccia operazione di malware chiamata “DollyWay World Domination” che ha infettato silenziosamente oltre 20.000 siti web dal 2016.

La campagna, battezzata con il nome di una linea di codice trovata nel malware, sfrutta i siti WordPress hackati per ingannare i visitatori a cliccare su pagine di truffa, facendo guadagnare agli aggressori milioni di dollari.

L’operazione si è evoluta nel corso degli anni, iniziando nel 2016 con campagne come Master134 e Fake Browser Updates. L’ultima versione, DollyWay v3, è altamente avanzata, utilizzando trucchi intelligenti per rimanere nascosta.

Ad esempio, può reinfezionare automaticamente i siti web, rimuovere altri malware e persino aggiornare WordPress per mantenere il sito in funzione senza intoppi, mentre nasconde la sua attività malevola.

Ecco come funziona: quando visiti un sito web infetto, il malware ti reindirizza in segreto a pagine truffa, spesso relative a incontri, criptovalute o scommesse. Queste truffe fanno parte di una rete più ampia gestita da cybercriminali chiamata VexTrio. Il malware è così subdolo che evita il rilevamento ignorando i bot, gli utenti registrati e persino i visitatori locali.

A partire da febbraio 2025, oltre 10.000 siti WordPress sono infetti, generando circa 10 milioni di visualizzazioni di pagine malevole ogni mese. Il malware è progettato per rimanere nascosto, rendendo difficile per i proprietari di siti web notare che qualcosa non va.

Una delle caratteristiche più preoccupanti della DollyWay v3 è la sua capacità di continuare a reinfezionare i siti web. Ogni volta che qualcuno visita un sito infetto, il malware verifica di essere ancora al comando. Se rileva plugin di sicurezza, li disabilita. Nasconde inoltre codice maligno all’interno di legittimi plugin e frammenti di WPCode, rendendo ancora più difficile il suo rilevamento e rimozione.

Gli aggressori creano anche account nascosti di amministrazione con nomi utente e indirizzi email casuali. Questi account consentono loro di accedere al sito in qualsiasi momento, anche se l’amministratore originale tenta di rimuoverli. In alcuni casi, il malware ruba addirittura i dettagli di accesso del vero amministratore per mantenere l’accesso.

Per peggiorare le cose, il malware utilizza una crittografia avanzata per proteggere il suo codice e garantire che solo gli aggressori possano controllarlo. Utilizza anche una rete di 14 siti web infetti, chiamati nodi TDS, per gestire i reindirizzamenti truffa. Questi nodi vengono aggiornati quotidianamente per mantenere l’operazione in funzione in modo fluido.

Si invita i proprietari dei siti web a controllare i loro siti per segni di infezione, come reindirizzamenti inaspettati o strani account di amministrazione. L’utilizzo di robusti plugin di sicurezza e il mantenimento aggiornato di WordPress possono aiutare a proteggere contro questo tipo di attacchi.