8 Years of Sophisticated Website Malware

GoDaddy Security researchers have identified a persistent malware operation known as "DollyWay," which has been active since 2016 and has compromised over 20,000 websites worldwide. This sophisticated campaign’s infrastructure primarily exploits a network of infected WordPress sites, which function as Traffic Direction System (TDS) and Command and Control (C2) nodes. The current version, DollyWay v3, is notable for its advanced features, including cryptographically signed data transfers, various injection methods, and automatic reinfection processes.

The campaign initially appeared to involve multiple independent malware operations but has been traced back to a single, complex threat actor through shared infrastructure, coding patterns, and monetization strategies. This comprehensive analysis connects individual attacks, including Master134, Fake Browser Updates, and CountsTDS, into a cohesive timeline revealing their evolution and interrelation.

DollyWay v3 predominantly targets visitors of infected WordPress sites by injecting redirect scripts. These scripts lead traffic to various scam pages via VexTrio, a notable cybercriminal affiliate network. While current operations mainly generate revenue through redirections, earlier iterations included aggressive payloads like ransomware and banking trojans.

The intricate operational structure of DollyWay employs several distinct infection techniques. The malware integrates multiple obfuscation layers, ensuring stealth. The first injection stage uses the WordPress wp_enqueue_script function to add a script that appears benign but hides true malicious activity. The second stage collects referrer information dynamically to prevent detection while guiding traffic towards specific scam sites.

The TDS systems employed by DollyWay randomly select from a list of infected nodes to direct users to various scams, categorized under several topics such as Dating, Mainstream (Sweepstakes), Crypto, Gambling, and more. Current configurations indicate that DollyWay uses about 14 nodes, updating their list and injection strategies daily, adapting to shifts in operational security measures.

A major characteristic of the malware is its reinfection capabilities. Every time a page is accessed on a compromised site, DollyWay executes an automated reinfection sequence focusing on disabling security measures, evading detection, and ensuring contamination of active plugins and WPCode snippets. It employs a variant renaming strategy and obfuscates its malicious scripts to evade static analysis tools.

Moreover, attackers establish malicious admin accounts using random hexadecimal usernames, which they create to bypass detection when regular admin users are removed. Regular monitoring of user credentials is conducted by intercepting login POST data, and this information is stored for potential exploitation.

DollyWay implements sophisticated backdoor techniques to maintain persistent access. The attack strategy includes listening for specific HTTP requests to create PHP files, execute arbitrary code, and enforce file integrity verification, ensuring that only the sanctioned code operates within the compromised sites.

Maintenance scripts, identified as wpu.php and cpl.php, play crucial roles, facilitating WordPress updates and malware installation or reinstallation processes. The complexity of these scripts highlights the attackers’ focus on ensuring that their malware persists and adapts to the management of the underlying software environment on infected sites.

By continually evolving tactics and exploiting legitimate web infrastructure features, the DollyWay campaign demonstrates an alarming level of sophistication and resilience. The operational continuity of this malware underscores the necessity for robust security measures to protect WordPress sites and other web platforms from such sophisticated threats.

Ultimately, the DollyWay operation highlights the ongoing sophistication of cyber threats, the need for constant vigilance, and the significance of understanding malware evolutions to enhance defensive measures effectively. Future analyses will further investigate the C2/TDS configurations and explore how DollyWay has adapted through various iterations, solidifying its pervasive threat in the cybersecurity landscape.

Enlace de la fuente, haz clic para tener más información

Artículos y alertas de seguridad

Consultar más contenidos y alertas

Alertas y noticias de seguridad de la información

Los rastros de delitos cibernéticos a menudo conducen al «centro de estafas»

A principios de 2023, Myanmar ha tomado medidas para cerrar los centros de fraude operados por el crimen organizado en su región fronteriza. En los

...
Más detalle de la noticia

Firefox soluciona una falla similar al día cero de Chrome utilizado contra las organizaciones rusas

Mozilla ha lanzado un parche para una grave vulnerabilidad de seguridad en su navegador Firefox, detectada poco después de que Google resolviera un defecto similar

...
Más detalle de la noticia

Vulnerabilidades múltiples en productos IBM

Recientemente, se han identificado varias vulnerabilidades en productos de IBM que podrían comprometer la seguridad de estos sistemas. Estas fallas de seguridad son motivo de

...
Más detalle de la noticia

Aviso de seguridad de ESRI (AV25-171) – Centro canadiense de seguridad cibernética

El 13 de marzo de 2025, ESRI, la empresa desarrolladora de sistemas de información geográfica, emitió un aviso de seguridad para advertir sobre una vulnerabilidad

...
Más detalle de la noticia

CNCS – Aviso de detalle

Del 26 al 28 de marzo de 2025, el Templo de Poesía en Oeiras, Portugal, fue el escenario de la primera reunión anual del Grupo

...
Más detalle de la noticia

Carta semanal de CERT-SE V.13-CERT-SE

La carta semanal del 28 de marzo de 2025 destaca varios eventos y reportes relacionados con la ciberseguridad, así como el Día Mundial de Respaldo

...
Más detalle de la noticia

Informe anual del trabajo del National Cert para 2024. Año

En 2024, el Nacional Cert ha procesado un total de 1113 incidentes cibernéticos, donde el phishing ha demostrado ser la amenaza más significativa, representando el

...
Más detalle de la noticia

Dos vulnerabilidades en el software StreamSoft Prestiż

Summary of Vulnerabilities in StreamSoft Prestiż On March 28, 2025, CERT Polska reported two significant vulnerabilities in the StreamSoft Prestiż software, a product from Streamsoft,

...
Más detalle de la noticia

ALERTA DE SEGURIDAD (A25-03-25): Vulnerabilidad en Firefox

Mozilla ha emitido un aviso de seguridad (MFSA2025-19) para abordar una vulnerabilidad crítica en el navegador Firefox. Esta vulnerabilidad permite que un atacante remoto induzca

...
Más detalle de la noticia

Mozilla Firefox Restricción de seguridad Vulnerabilidad

Se ha identificado una vulnerabilidad en Mozilla Firefox que permite a un atacante remoto ejecutar código malicioso en un sistema objetivo. Este problema se deriva

...
Más detalle de la noticia

Vulnerabilidad de seguridad fijada en Firefox 136.0.4, Firefox ESR 128.8.1, Firefox ESR 115.21.1 – Mozilla

Ayúdanos a mejorar tu experiencia de Mozilla La experiencia del usuario en línea es un aspecto crucial para cualquier plataforma digital, y Mozilla no es

...
Más detalle de la noticia

Rusia arresta a tres por supuestamente crear malware Mamont, vinculado a más de 300 delitos cibernéticos

Las autoridades rusas han llevado a cabo una operación que resultó en la detención de tres individuos sospechosos de desarrollar el malware conocido como Mamont,

...
Más detalle de la noticia

Aviso de seguridad de Mozilla (AV25-170) – Centro canadiense de seguridad cibernética

El 27 de marzo de 2025, Mozilla lanzó un aviso de seguridad crítico para advertir a sus usuarios sobre la existencia de una vulnerabilidad en

...
Más detalle de la noticia

Vulnerabilidad en Stormshield Network Security (27 de marzo de 2025)

Resumen sobre la Vulnerabilidad de Seguridad en Stormshield Recientemente, se ha descubierto una vulnerabilidad significativa en la seguridad de la red Stormshield, un proveedor reconocido

...
Más detalle de la noticia

Revisión semanal del Centro Nacional de Seguridad Cibernética Finlandia (NCSC -FI) – 20/2025

El Seminario Finlandés Infosec 2025, organizado por Traficom y la Agencia Nacional de Suministro de Emergencia, se llevó a cabo el 12 de marzo y

...
Más detalle de la noticia
Contacta

Contacta con nosotros para obtener soluciones integrales en IT y seguridad de la información

Estamos encantados de responder cualquier pregunta que puedas tener, y ayudarte a determinar cuáles de nuestros servicios se adaptan mejor a tus necesidades.

Llámanos: Pulsa aquí
Nuestros beneficios:
  • Orientación a cliente
  • Independencia de proveedores
  • Competencias contrastadas y certificadas
  • Orientación a resultados (KPIs)
  • Resolución de problemas
  • Transparencia
¿Qué sucede a continuación?
1

Programamos una llamada según tu conveniencia.

2

Realizamos una reunión de descubrimiento y consultoría.

3

Preparamos una propuesta.

Agenda una consulta gratuita