Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware DollyWay-Malware-Kampagne

DollyWay-Malware-Kampagne

Von Mezo in Malware
Übersetzen Sie in:
Deutsch

DollyWay, eine seit 2016 aktive Malware-Attacke, hat weltweit über 20.000 WordPress-Websites infiziert. Die Kampagne ist im Laufe der Jahre immer ausgefeilter geworden und hat ihre Strategien zur Umgehung, Neuinfektion und Monetarisierung verfeinert. Dadurch stellt sie eine erhebliche Bedrohung für die Website-Sicherheit dar.

DollyWays Entwicklung zu einem taktischen Umleitungssystem

DollyWay verbreitete ursprünglich Ransomware und Banking-Trojaner und stellte damit eine direkte Bedrohung für Website-Besucher dar. In der aktuellen Version (DollyWay v3) fungiert die Malware jedoch als Umleitungssystem für betrügerische Websites und leitet Benutzer auf betrügerische Websites um.

Jüngste Untersuchungen haben ergeben, dass DollyWay Teil einer umfangreicheren, lang andauernden Operation namens „DollyWay World Domination“ ist. Die Operation umfasst mehrere Kampagnen mit ähnlichem Code, ähnlicher Infrastruktur und ähnlichen Monetarisierungstaktiken. Die Malware ist nach der Zeichenfolge in ihrem Code benannt:

Wie DollyWay v3 Tausende von WordPress-Sites kompromittiert

DollyWay v3 zielt auf anfällige WordPress-Websites ab, indem es N-Day-Schwachstellen in Plugins und Themes ausnutzt. Sobald eine Website kompromittiert ist, leitet die Malware Besucher auf schädliche Websites um, die gefälschte Dating-, Glücksspiel-, Kryptowährungsbetrugs- und Gewinnspielangebote anbieten.

Seit Februar 2025 generiert DollyWay über 10 Millionen betrügerische Impressionen pro Monat und leitet den Datenverkehr auf betrügerische Seiten um, die über die Partnernetzwerke VexTrio und LosPollos monetarisiert werden. Dieser Umleitungsprozess wird über ein Traffic Direction System (TDS) gesteuert, das Benutzer anhand bestimmter Merkmale filtert.

Der dreistufige Infektionsprozess

  • Injektions- und Umleitungs-Setup : Die Malware injiziert mithilfe von wp_enqueue_script ein Skript in die Site und lädt ein zweites unsicheres Skript von der kompromittierten Site.
  • Traffic-Filterung : Das zweite Skript analysiert die Besucher-Referrer-Daten und kategorisiert die Weiterleitungsziele. Benutzer werden nicht umgeleitet, wenn sie:
  • Es gibt keinen Referrer (der die Website direkt besucht hat).
  • Werden als Bots erkannt.
  • Sind angemeldete WordPress-Benutzer, einschließlich Administratoren.
  • Endgültige Weiterleitung auf betrügerische Seiten : Drei zufällig infizierte Websites fungieren als TDS-Knoten und laden verstecktes JavaScript, das den Besucher auf betrügerische Seiten von VexTrio oder LosPollos umleitet. Diese Weiterleitung erfolgt nur, wenn der Besucher auf ein Seitenelement klickt, was die Erkennung erschwert.

DollyWays Persistenz- und Stealth-Techniken

DollyWay hat verschiedene Techniken entwickelt, um seine Persistenz auf infizierten Websites sicherzustellen. Sobald die Malware eine WordPress-Site infiziert, infiziert sie sich bei jedem Seitenaufruf erneut, was die Entfernung erschwert. Hier sind die wichtigsten Taktiken:

  • Verteilen von PHP-Code auf aktive Plugins.
  • Einschleusen von Schadcode in das WPCode-Plugin (ein Drittanbietertool zum Ändern von WordPress ohne Änderung der Kerndateien).
  • Wenn WPCode aus der Plugin-Liste ausgeblendet wird, ist es für Administratoren unsichtbar und schwieriger zu entfernen.

Darüber hinaus erstellt die Malware versteckte Administratorkonten mit zufälligen 32-stelligen Hex-Strings, die nur durch direkte Datenbankprüfung sichtbar sind, wodurch sichergestellt wird, dass Angreifer die Kontrolle über die Site behalten.

Fazit: Eine anhaltende und sich weiterentwickelnde Bedrohung

DollyWay ist eine laufende und robuste Malware-Kampagne, die sich mit immer ausgefeilteren Taktiken ständig weiterentwickelt. Sie bietet folgende Möglichkeiten:

  • Sites automatisch neu infizieren
  • Vermeiden Sie die Erkennung durch versteckte Skripte und Administratorkonten
  • Umleitungsverkehr über betrugsbezogene Netzwerke monetarisieren

… stellt eine ernsthafte Bedrohung für WordPress-Website-Betreiber weltweit dar. Website-Administratoren müssen wachsam bleiben und Themes, Plugins und Sicherheitsprotokolle regelmäßig aktualisieren, um das Infektionsrisiko zu minimieren.

Im Trend

Am häufigsten gesehen

Wird geladen...