| ||||||||||||||||||||||
La operación de distribución de 'malware' persistente DollyWay comprometió más de 10.000 webs de WordPress | |||
| |||
|
MADRID, 20 (Portaltic/EP) La investigación, que abarca ocho años de datos, conecta campañas aparentemente independientes -como Master134 (2016-2020), Fake Browser Updates (2018-2019) y CountsTDS (2020- actualidad)- en una cronología operativa integral, que ha funcionado como un sistema de redirección de estafas a gran escala en su última versión, DollyWay v3. Según ha explicado el ingeniero principal de Seguridad en GoDaddy, Denis Sinegubko, la operación DollyWay World Domination -conocida como DollyWay- se dirige principalmente a los visitantes de sitios web de WordPress infectados a través de 'scripts' de redireccionamiento inyectados, que emplean una red distribuida de nodos del Sistema de Dirección de Tráfico (TDS) alojados en sitis web comprometidos. Estos scripts redirigen a los visitantes de estas páginas web fraudulentas a través de redes LosPollos y VexTrio, una de las redes de cibercriminales más conocidas, que aprovecha técnicas sofisticadas de sistemas de distribición de tráfico y generación de dominios para entregar 'malware' y estafas a través de redes sociales. Según Sinegubko, la última variante del 'malware' DollyWay (v3) es más sofisticada, debido a que emplea múltiples capas de ofuscación, verificación criptográfica de cargas maliciosas y mecanismos de reinfección. Asimismo, inyecta código malicioso entre archivos y bases de datos y borra 'malware' de terceros de la competencia. Su procedimiento de infección se divide en cuatro etapas. En la primera, se aprovecha la función wp_enqueue_script para añadir un enlace a un script generado dinámicamente que se carga desde la url principal del sitio cada vez que alguien visita un dominio infectado. A continuación se produce la carga dinámica y la recopilación de referencias, cuando el 'malware' evade herramientas de análisis de la web y recopila información sin revelar su comportamiento malicioso. Es en la tercera etapa cuando revela sus intenciones, con nodos que actúan como TDS en sus url para devolver scripts que inician la cadena de redirección maliciosa. Finalmente, VexTrio controla la cadena de redireccionamiento y los visitantes de un sitio web infectado terminan accediendo a las páginas fraudulentas. En ocasiones, la página de destino final será una página de Google Play de alguna aplicación legítima, como Tinder, TikTok o Instagram. En base a sus investigaciones, el experto ha señalado que, a partir de febrero de 2025 se han advertido más de 10.000 sitios de WorPress únicos infectados en todo el mundo, que generan alrededor de 10 millones de impresiones de páginas web con scripts maliciosos inyectados para millones de visitantes con direcciones IP únicas cada mes. Sinegubko ha reconocido que el procedimiento de DollyWay es difícil de controlar, debido a que se trata de una amenaza muy persistente, que reinfecta automáticamente un sitio web cada vez que se carga, por lo que neutralizarla es particularmente difícil. Asimismo, distribuye su código malicioso PHP en los diferentes complementos activos de la plataforma, además de que añade una copia del complemento WPCode en los equipos donde no esté instalado. Éste, igualmente, contiene fragmentos de 'malware' ofuscados. Como parte de este ataque, los ciberdelincuentes ocultan WPCode de la lista de complementos de WordPress, de manera que los administradores no pueden verlo ni eliminarlo, complicando aún más la desinfección de los dispositivos. |
| ||||||||||||||
