Milhares de sites WordPress comprometidos com malware DollyWay

Uma sofisticada operação de malware, designada de “DollyWay”, foi responsável por comprometer mais de 20 mil sites de WordPress a nível mundial.

De acordo com a SecurityWeek, a operação é atribuída à VexTrio, uma rede afiliada de cibercriminosos, associada a técnicas de DNS e algoritmos de geração de domínio.

Os sites WordPress são o principal alvo do malware DollyWay. A operação começa com uma cadeia de injeção de quatro estágios, projetada para evitar a deteção. Recorre à função do WordPress para carregar um script com um hash MD5 como identificador do site.wp_enqueue_script. De seguida, o malware carrega scripts que recolhem informações do referenciador e injetam scripts do sistema de direção de tráfego. Estes scripts acabam hospedados em sites comprometidos, com URL como ./wp-content/counts.php?cat=&t=.

Desta forma, as técnicas avançadas da campanha permitem comprometer uma rede de sites e redirecionar os utilizadores para páginas fraudulentas através de redes de corretores de tráfego. O DollyWay atualiza também o WordPress para remover malware concorrente e, desta forma, manter o controlo dos sites comprometidos.

Os investigadores da GoDaddy identificaram os mecanismos sofisticados do malware, que incluíam verificação criptográfica de transferência de dados e processos automáticos de reinfeção que envolvem a randomização do código de forma a evitar a deteção.

O DollyWay é igualmente responsável por injetar backdoors em sites comprometidos, permitindo a execução arbitrária de código PHP, com integridade de dados verificada através de assinaturas criptográficas.

A evolução da operação DollyWay, assim como a persistência e sofisticação da campanha, demonstra a necessidade de uma monitorização contínua e de medidas proativas para proteger os sites WordPress.