{"id":29728,"date":"2025-06-16T09:06:22","date_gmt":"2025-06-16T07:06:22","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=29728"},"modified":"2025-06-16T09:06:22","modified_gmt":"2025-06-16T07:06:22","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/dollyway-world-domination-infects-wordpress-websites\/29728\/","title":{"rendered":"DollyWay World Domination: attacco ai siti Web WordPress"},"content":{"rendered":"

Dato che poco meno della met\u00e0 di tutti i siti Web nel mondo \u00e8 alimentato dal sistema di gestione dei contenuti WordPress, non sorprende che i cybercriminali siano costantemente alla ricerca di scappatoie per sfruttarlo. Lo scorso marzo, i ricercatori di cybersecurity della societ\u00e0 di hosting GoDaddy hanno descritto una campagna<\/a> iniziata nel 2016 e che da allora ha compromesso pi\u00f9 di 20.000 siti Web WordPress in tutto il mondo.<\/p>\n

La campagna \u00e8 stata soprannominata \u201cDollyWay World Domination\u201d da una riga di codice (define (\u2018DOLLY_WAY\u2019, \u2018World Domination\u2019)) rilevata nel malware utilizzato in questa campagna. Come parte di DollyWay, gli autori delle minacce iniettano nei siti Web script dannosi con diverse funzionalit\u00e0. Il loro obiettivo principale \u00e8 reindirizzare gli utenti da siti Web legittimi a pagine di terze parti. A febbraio 2025, gli esperti avevano registrato oltre 10.000 siti Web WordPress infetti in tutto il mondo.<\/p>\n

Per compromettere i siti Web, gli utenti malintenzionati sfruttano le vulnerabilit\u00e0 nei plug-in e nei temi di WordPress. Iniziano iniettando uno script dall\u2019aspetto innocuo che non solleva segnali d\u2019allarme con i sistemi di protezione che eseguono analisi del codice HTML statico. Lo script opera come un infiltrato furtivo, scaricando silenziosamente codice pi\u00f9 pericoloso utilizzato per profilare le vittime, comunicare con i server di comando e controllo e, infine, reindirizzare i visitatori ai siti infetti. \u00c8 possibile leggere il documento di ricerca originale<\/a> per una descrizione dettagliata del funzionamento di questi script.<\/p>\n

Monetizzazione della campagna dannosa<\/h2>\n

I collegamenti di reindirizzamento generati da DollyWay includono un identificatore di affiliazione, proprio come i programmi di riferimento che i blogger utilizzano spesso per promuovere prodotti o servizi. Questi identificatori consentono ai siti Web di tenere traccia della provenienza degli utenti. I blogger in genere guadagnano una commissione sugli acquisti effettuati dai visitatori che arrivano tramite link di riferimento. La campagna DollyWay World Domination viene monetizzata pi\u00f9 o meno allo stesso modo, utilizzando i programmi di affiliazione VexTrio e LosPollos.<\/p>\n

VexTrio \u00e8 stato definito \u201cl\u2019Uber del cybercrimine\u201d<\/a>. Secondo quanto riferito, attivo almeno dal 2017, questo servizio agisce principalmente come broker per contenuti truffa, spyware, malware, pornografia e cos\u00ec via. \u00c8 VexTrio che reindirizza il traffico da DollyWay ai siti truffa. Come indicato sopra, il malware profila le sue vittime. In base a questi profili, gli utenti vengono quindi reindirizzati a vari tipi di siti Web, ad esempio siti di incontri falsi, truffe di criptovaluta o pagine di giochi a distanza.<\/p>\n

Apparentemente LosPollos<\/a> \u00e8 specializzato nella vendita di traffico a servizi legittimi. Ogni volta che DollyWay reindirizza il traffico a un sito promosso da LosPollos, i reindirizzamenti includono sempre lo stesso identificatore dell\u2019account dell\u2019affiliato LosPollos. La partnership di DollyWay con LosPollos spiega perch\u00e9, in alcuni casi, i reindirizzamenti da siti infetti portano gli utenti non a pagine dannose, ma a elenchi di app legittime su Google Play come Tinder o TikTok.<\/p>\n

In che modo DollyWay si nasconde nei siti Web infettati<\/h2>\n

I cybercriminali prestano la massima attenzione per impedire che i propri malware vengano rilevati e rimossi. Per i principianti, il codice dannoso viene iniettato in ogni plug-in attivo. Rimuoverlo non \u00e8 una passeggiata, poich\u00e9 DollyWay utilizza un meccanismo di reinfezione avanzato che si attiva ogni volta che si accede a una pagina del sito compromesso. Se il codice dannoso non viene rimosso da tutti i plug-in e gli snippet attivi, il caricamento di qualsiasi pagina del sito comporter\u00e0 una nuova infezione.<\/p>\n

Anche il rilevamento di DollyWay potrebbe non rivelarsi un compito semplice: il malware \u00e8 abile nel nascondere la propria presenza in un sito infetto. Per mantenere l\u2019accesso al sito compromesso, gli autori degli attacchi creano il proprio account con privilegi di amministratore e DollyWay nasconde l\u2019account dalla dashboard di WordPress.<\/p>\n

Nel caso in cui i relativi account vengano individuati, gli autori degli attacchi violano anche le credenziali degli amministratori legittimi. A tale scopo, DollyWay monitora tutto ci\u00f2 che \u00e8 stato immesso nel modulo di accesso dell\u2019amministratore del sito e salva i dati in un file nascosto.<\/p>\n

Gli autori degli attacchi adottano inoltre misure per garantire che le proprie risorse rimangano operative. I ricercatori hanno trovato prove di uno script apparentemente utilizzato dagli autori degli attacchi per gestire i siti infetti. In particolare, pu\u00f2 aggiornare WordPress, installare e aggiornare i componenti richiesti e avviare l\u2019iniezione di codice dannoso.<\/p>\n

Gli esperti hanno anche scoperto una shell web utilizzata dagli autori degli attacchi, tra le altre cose, per aggiornare i siti compromessi e tenere lontano i malware rivali. Questo sta a dimostrare che gli autori degli attacchi desiderano impedire ad altri malware di hackerare il traffico o attivare allarmi di sicurezza che potrebbero avvisare il proprietario del sito.<\/p>\n

Gli esperti ritengono che lo script di manutenzione e la shell web non vengano distribuiti in tutti i siti infettati da DollyWay. La manutenzione di tale infrastruttura in tutti i 10.000 siti richiederebbe un consumo di risorse proibitivo. \u00c8 probabile che gli autori degli attacchi distribuiscano questi script solo sulle risorse pi\u00f9 preziose.<\/p>\n

Protezione del sito Web aziendale<\/h2>\n

L\u2019enorme portata e la longevit\u00e0 della campagna DollyWay World Domination sottolineano ancora una volta la necessit\u00e0 di controlli di sicurezza periodici dei siti Web aziendali. Quando si tratta di siti WordPress, plug-in e temi meritano un\u2019attenzione particolare: hanno pi\u00f9 volte dimostrato di essere le parti pi\u00f9 vulnerabili dell\u2019infrastruttura della piattaforma.<\/p>\n

Se si sospetta che il sito Web della propria azienda sia vittima di DollyWay, i ricercatori consigliano di tenere d\u2019occhio gli eventi di creazione ed eliminazione dei file. Tale attivit\u00e0 pu\u00f2 essere un indicatore di compromissione, poich\u00e9 alcune versioni di DollyWay v3 eseguono operazioni sui file ogni volta che viene caricata una pagina.<\/p>\n

Ecco cosa \u00e8 necessario fare se si riscontrano segni di compromissione.<\/p>\n