DollyWay World Domination: attacco ai siti Web WordPress

Dal 2016 un autore di minacce sfrutta plug-in e temi non sicuri per infettare i siti Web WordPress e reindirizzare il traffico a siti Web dannosi.

In che modo DollyWay sta infettando i siti WordPress nel 2025

Dato che poco meno della metà di tutti i siti Web nel mondo è alimentato dal sistema di gestione dei contenuti WordPress, non sorprende che i cybercriminali siano costantemente alla ricerca di scappatoie per sfruttarlo. Lo scorso marzo, i ricercatori di cybersecurity della società di hosting GoDaddy hanno descritto una campagna iniziata nel 2016 e che da allora ha compromesso più di 20.000 siti Web WordPress in tutto il mondo.

La campagna è stata soprannominata “DollyWay World Domination” da una riga di codice (define (‘DOLLY_WAY’, ‘World Domination’)) rilevata nel malware utilizzato in questa campagna. Come parte di DollyWay, gli autori delle minacce iniettano nei siti Web script dannosi con diverse funzionalità. Il loro obiettivo principale è reindirizzare gli utenti da siti Web legittimi a pagine di terze parti. A febbraio 2025, gli esperti avevano registrato oltre 10.000 siti Web WordPress infetti in tutto il mondo.

Per compromettere i siti Web, gli utenti malintenzionati sfruttano le vulnerabilità nei plug-in e nei temi di WordPress. Iniziano iniettando uno script dall’aspetto innocuo che non solleva segnali d’allarme con i sistemi di protezione che eseguono analisi del codice HTML statico. Lo script opera come un infiltrato furtivo, scaricando silenziosamente codice più pericoloso utilizzato per profilare le vittime, comunicare con i server di comando e controllo e, infine, reindirizzare i visitatori ai siti infetti. È possibile leggere il documento di ricerca originale per una descrizione dettagliata del funzionamento di questi script.

Monetizzazione della campagna dannosa

I collegamenti di reindirizzamento generati da DollyWay includono un identificatore di affiliazione, proprio come i programmi di riferimento che i blogger utilizzano spesso per promuovere prodotti o servizi. Questi identificatori consentono ai siti Web di tenere traccia della provenienza degli utenti. I blogger in genere guadagnano una commissione sugli acquisti effettuati dai visitatori che arrivano tramite link di riferimento. La campagna DollyWay World Domination viene monetizzata più o meno allo stesso modo, utilizzando i programmi di affiliazione VexTrio e LosPollos.

VexTrio è stato definito “l’Uber del cybercrimine”. Secondo quanto riferito, attivo almeno dal 2017, questo servizio agisce principalmente come broker per contenuti truffa, spyware, malware, pornografia e così via. È VexTrio che reindirizza il traffico da DollyWay ai siti truffa. Come indicato sopra, il malware profila le sue vittime. In base a questi profili, gli utenti vengono quindi reindirizzati a vari tipi di siti Web, ad esempio siti di incontri falsi, truffe di criptovaluta o pagine di giochi a distanza.

Apparentemente LosPollos è specializzato nella vendita di traffico a servizi legittimi. Ogni volta che DollyWay reindirizza il traffico a un sito promosso da LosPollos, i reindirizzamenti includono sempre lo stesso identificatore dell’account dell’affiliato LosPollos. La partnership di DollyWay con LosPollos spiega perché, in alcuni casi, i reindirizzamenti da siti infetti portano gli utenti non a pagine dannose, ma a elenchi di app legittime su Google Play come Tinder o TikTok.

In che modo DollyWay si nasconde nei siti Web infettati

I cybercriminali prestano la massima attenzione per impedire che i propri malware vengano rilevati e rimossi. Per i principianti, il codice dannoso viene iniettato in ogni plug-in attivo. Rimuoverlo non è una passeggiata, poiché DollyWay utilizza un meccanismo di reinfezione avanzato che si attiva ogni volta che si accede a una pagina del sito compromesso. Se il codice dannoso non viene rimosso da tutti i plug-in e gli snippet attivi, il caricamento di qualsiasi pagina del sito comporterà una nuova infezione.

Anche il rilevamento di DollyWay potrebbe non rivelarsi un compito semplice: il malware è abile nel nascondere la propria presenza in un sito infetto. Per mantenere l’accesso al sito compromesso, gli autori degli attacchi creano il proprio account con privilegi di amministratore e DollyWay nasconde l’account dalla dashboard di WordPress.

Nel caso in cui i relativi account vengano individuati, gli autori degli attacchi violano anche le credenziali degli amministratori legittimi. A tale scopo, DollyWay monitora tutto ciò che è stato immesso nel modulo di accesso dell’amministratore del sito e salva i dati in un file nascosto.

Gli autori degli attacchi adottano inoltre misure per garantire che le proprie risorse rimangano operative. I ricercatori hanno trovato prove di uno script apparentemente utilizzato dagli autori degli attacchi per gestire i siti infetti. In particolare, può aggiornare WordPress, installare e aggiornare i componenti richiesti e avviare l’iniezione di codice dannoso.

Gli esperti hanno anche scoperto una shell web utilizzata dagli autori degli attacchi, tra le altre cose, per aggiornare i siti compromessi e tenere lontano i malware rivali. Questo sta a dimostrare che gli autori degli attacchi desiderano impedire ad altri malware di hackerare il traffico o attivare allarmi di sicurezza che potrebbero avvisare il proprietario del sito.

Gli esperti ritengono che lo script di manutenzione e la shell web non vengano distribuiti in tutti i siti infettati da DollyWay. La manutenzione di tale infrastruttura in tutti i 10.000 siti richiederebbe un consumo di risorse proibitivo. È probabile che gli autori degli attacchi distribuiscano questi script solo sulle risorse più preziose.

Protezione del sito Web aziendale

L’enorme portata e la longevità della campagna DollyWay World Domination sottolineano ancora una volta la necessità di controlli di sicurezza periodici dei siti Web aziendali. Quando si tratta di siti WordPress, plug-in e temi meritano un’attenzione particolare: hanno più volte dimostrato di essere le parti più vulnerabili dell’infrastruttura della piattaforma.

Se si sospetta che il sito Web della propria azienda sia vittima di DollyWay, i ricercatori consigliano di tenere d’occhio gli eventi di creazione ed eliminazione dei file. Tale attività può essere un indicatore di compromissione, poiché alcune versioni di DollyWay v3 eseguono operazioni sui file ogni volta che viene caricata una pagina.

Ecco cosa è necessario fare se si riscontrano segni di compromissione.

  • Portare temporaneamente offline il sito interessato, reindirizzando tutto il traffico a una pagina statica. O, per lo meno, disattivare tutti i plug-in durante la rimozione del malware.
  • Rimuovere eventuali plug-in sospetti, ma tieni presente che DollyWay sa come nasconderli dalla dashboard di WordPress.
  • Eliminare eventuali account amministratore non riconosciuti: ancora una volta, tieni presente che DollyWay può nascondere anche questi.
  • Modificare le password per tutti gli utenti di WordPress, a partire da chiunque disponga di privilegi di amministratore.
  • Abilitare l’autenticazione a due fattori per l’accesso a WordPress.
  • Se le risorse del team interno di infosec sono insufficienti, richiedi l’assistenza di specialisti di incident response di terze parti.
Consigli
Iscriviti per ricevere le nostre notizie via e-mail
  • Tutti gli altri paesi