DollyWay: бессмертный вредонос уже 9 лет взламывает сайты WordPress

С 2016 года в ходе вредоносной кампании DollyWay было взломано более 20 000 сайтов на WordPress по всему миру путем перенаправления пользователей на мошеннические ресурсы. За 9 лет атака значительно эволюционировала, добавив сложные механизмы уклонения, повторного заражения и монетизации.

По данным GoDaddy, в последней версии (v3) DollyWay функционирует как система массовых мошеннических перенаправлений. Однако в прошлом злоумышленники использовали систему для распространения программ-вымогателей и банковских троянов. Ранее считавшиеся отдельными атаки на самом деле связаны между собой, имеют общую инфраструктуру, схожие программные шаблоны и одинаковые методы монетизации.

DollyWay v3 атакует уязвимые сайты WordPress, используя эксплойты в плагинах и темах. По состоянию на февраль 2025 года вредоносная кампания генерирует около 10 миллионов мошеннических показов в месяц, перенаправляя посетителей взломанных сайтов на фейковые платформы знакомств, азартных игр, криптовалют и розыгрышей призов.

Монетизация атаки осуществляется через партнёрские сети. Для этого используется система перенаправления трафика (Traffic Direction System, TDS), которая анализирует посетителей по различным параметрам — местоположению, типу устройства, источнику перехода — и распределяет их на целевые мошеннические ресурсы.

Заражение начинается с внедрения скрипта с помощью функции wp_enqueue_script, который загружает второй этап атаки. Далее система анализирует источник трафика, после чего подключает TDS, определяющую, какие пользователи будут перенаправлены.

Только посетители, не являющиеся ботами (проверяется список из 102 известных ботов), не авторизовавшиеся в WordPress и пришедшие с внешних ресурсов, считаются «подходящими» для перенаправления. Затем выбираются три случайных заражённых сайта, выполняющих функцию узлов TDS, с которых загружается скрытый JavaScript, ведущий на мошеннические страницы партнеров.

DollyWay — крайне устойчивый вредонос, который автоматически восстанавливает своё присутствие на взломанном сайте при каждом его открытии, усложняя процесс удаления. Для этого программа внедряет вредоносный код в активные плагины WordPress и при необходимости добавляет WPCode — легальный плагин для управления фрагментами кода. WPCode маскируется в системе, так что администраторы сайта не могут его обнаружить или удалить через стандартный интерфейс WordPress.

Кроме того, вредонос создаёт скрытые учётные записи администраторов, названные случайными 32-значными шестнадцатеричными строками, которые не отображаются в панели управления, а могут быть найдены только при анализе базы данных. Специалисты GoDaddy опубликовали список индикаторов компрометации (IoC) для выявления и блокировки DollyWay. Специалисты продолжают анализировать структуру и новые тактики операции.