MADRID, 20 Mar. (CIBERPRO) –
Expertos en ciberseguridad han identificado una serie de campañas de ‘malware’ interconectadas bajo una operación continua llamada DollyWay World Domination, que afecta a usuarios de sitios WordPress desde 2016.
El estudio, que analiza ocho años de actividad, relaciona varias campañas, como Master134 (2016-2020), Fake Browser Updates (2018-2019), y CountsTDS (2020- presente), revelando una operación coordinada que culmina en la versión DollyWay v3, un sofisticado sistema de redirección de estafas.
Denis Sinegubko, principal ingeniero de Seguridad en GoDaddy, explicó que DollyWay apunta principalmente a visitantes de sitios WordPress contaminados mediante ‘scripts’ de redireccionamiento, utilizando una red de nodos del Sistema de Dirección de Tráfico (TDS) en sitios web comprometidos.
Estos ‘scripts’ canalizan a los usuarios hacia páginas maliciosas a través de las redes LosPollos y VexTrio, notorias por sus avanzadas técnicas en la distribución de tráfico y generación de dominios, facilitando la entrega de ‘malware’ y estafas por medio de redes sociales.
Sinegubko señaló que la versión más reciente del ‘malware’ DollyWay (v3) es particularmente compleja, con varias capas de ofuscación, verificación de seguridad de las cargas y sistemas de reinfección. Además, el ‘malware’ se disemina entre archivos y bases de datos y elimina ‘malware’ de competidores.
El proceso de infección se desarrolla en cuatro fases: inicialmente, se utiliza la función wp_enqueue_script para integrar un script generado dinámicamente que se carga desde la URL principal cada vez que se accede a un sitio infectado. Posteriormente, el ‘malware’ evita herramientas de análisis mientras recopila datos sin mostrar su actividad maliciosa. En la tercera fase, se desvelan sus intenciones maliciosas con nodos que actúan como TDS, y finalmente, VexTrio maneja la cadena de redirección, llevando a los visitantes a las páginas fraudulentas.
Según investigaciones recientes, desde febrero de 2025 se han detectado más de 10.000 sitios WordPress únicos infectados a nivel global, generando cerca de 10 millones de impresiones mensuales con ‘scripts’ maliciosos para millones de visitantes con IPs únicas.
Sinegubko admite que controlar DollyWay es complejo por su capacidad de reinfectar sitios automáticamente, lo que complica su neutralización. También distribuye su código malicioso PHP en varios plugins activos y agrega una copia del plugin WPCode en sistemas no instalados, el cual contiene ‘malware’ ofuscado. Además, los atacantes ocultan WPCode en la lista de plugins de WordPress, impidiendo que los administradores lo detecten y eliminen, complicando la limpieza de los dispositivos infectados.
