Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants Campagne de malware DollyWay

Campagne de malware DollyWay

Par Mezo en Logiciels malveillants
Se traduisent par :
Français

DollyWay, une opération malveillante active depuis 2016, a compromis plus de 20 000 sites WordPress dans le monde. Cette campagne, qui se poursuit, est devenue plus sophistiquée au fil des ans, affinant ses stratégies d'évasion, de réinfection et de monétisation, ce qui en fait une menace importante pour la sécurité des sites.

L’évolution de DollyWay vers un système de redirection tactique

Initialement, DollyWay diffusait des rançongiciels et des chevaux de Troie bancaires, représentant une menace directe pour les visiteurs du site. Cependant, dans sa version actuelle (DollyWay v3), le logiciel malveillant s'est transformé en système de redirection frauduleux, dirigeant les utilisateurs vers des sites frauduleux.

Des recherches récentes ont révélé que DollyWay fait partie d'une opération plus vaste et de longue date, baptisée « DollyWay World Domination ». Cette opération comprend plusieurs campagnes partageant un code, une infrastructure et des stratégies de monétisation similaires. Le malware doit son nom à la chaîne de caractères présente dans son code :

Comment DollyWay v3 compromet des milliers de sites WordPress

DollyWay v3 cible les sites WordPress vulnérables en exploitant des failles de sécurité dans les plugins et les thèmes. Une fois le site compromis, le malware redirige les visiteurs vers des sites malveillants proposant de faux sites de rencontres, de jeux d'argent, d'arnaques aux cryptomonnaies et de tirages au sort.

En février 2025, DollyWay générait plus de 10 millions d'impressions frauduleuses par mois, dirigeant le trafic vers des pages frauduleuses monétisées via les réseaux d'affiliation VexTrio et LosPollos. Ce processus de redirection est géré par un système de gestion du trafic (TDS) qui filtre les utilisateurs selon des caractéristiques spécifiques.

Le processus d’infection en trois étapes

  • Configuration de l'injection et de la redirection : le malware injecte un script dans le site à l'aide de wp_enqueue_script, chargeant un deuxième script non sécurisé à partir du site compromis.
  • Filtrage du trafic : Le deuxième script analyse les données de référence des visiteurs et catégorise les cibles de redirection. Les utilisateurs ne sont pas redirigés si :
  • Il n'y a pas de référent (qui a directement visité le site Web).
  • Sont détectés comme des robots.
  • Sont des utilisateurs WordPress connectés, y compris les administrateurs.
  • Redirection finale vers des pages frauduleuses : trois sites infectés aléatoirement agissent comme des nœuds TDS, chargeant du JavaScript caché qui redirige le visiteur vers les pages frauduleuses de VexTrio ou LosPollos. Cette redirection ne se produit que lorsque le visiteur clique sur un élément de la page, ce qui la rend plus difficile à détecter.

Les techniques de persistance et de furtivité de DollyWay

DollyWay a développé diverses techniques pour assurer sa persistance sur les sites infectés. Une fois un site WordPress compromis, le malware s'assure de le réinfecter à chaque chargement de page, rendant sa suppression difficile. Voici ses principales tactiques :

  • Répartition du code PHP sur les plugins actifs.
  • Injection de code malveillant dans le plugin WPCode (un outil tiers utilisé pour modifier WordPress sans altérer les fichiers principaux).
  • Masquer WPCode de la liste des plugins le rend invisible pour les administrateurs et plus difficile à supprimer.

De plus, le logiciel malveillant crée des comptes d'administrateur cachés avec des chaînes hexadécimales aléatoires de 32 caractères, qui ne sont visibles que via une inspection directe de la base de données, garantissant ainsi aux attaquants de garder le contrôle du site.

Conclusion : une menace persistante et évolutive

DollyWay est une campagne de malwares continue et résiliente qui évolue avec des tactiques de plus en plus sophistiquées. Sa capacité à :

  • Réinfecter les sites automatiquement
  • Échapper à la détection grâce à des scripts cachés et des comptes administrateurs
  • Monétiser le trafic de redirection via des réseaux liés à la fraude

…constitue une menace sérieuse pour les propriétaires de sites WordPress du monde entier. Les administrateurs de sites web doivent rester vigilants et mettre à jour régulièrement les thèmes, les extensions et les protocoles de sécurité afin de limiter les risques d'infection.

Tendance

Le plus regardé

Chargement...