Une opération malveillante baptisée « DollyWay » est en cours depuis 2016, compromettant plus de 20 000 sites WordPress dans le monde pour rediriger les utilisateurs vers des sites malveillants.
La campagne a considérablement évolué au cours des huit dernières années, tirant parti de stratégies avancées d’évasion, de réinfection et de monétisation.
Selon Denis Sinegubko, chercheur chez GoDaddy, DollyWay fonctionne comme un système de redirection d’escroquerie à grande échelle dans sa dernière version (v3). Cependant, dans le passé, il a distribué des charges utiles plus nuisibles comme les ransomwares et les chevaux de Troie bancaires.
« Les chercheurs en sécurité de GoDaddy ont découvert des preuves reliant plusieurs campagnes de logiciels malveillants en une seule opération de longue durée que nous avons nommée » DollyWay World Domination » », explique un récent rapport de Godaddy.
« Alors qu’on pensait auparavant qu’il s’agissait de campagnes distinctes, nos recherches révèlent que ces attaques partagent une infrastructure, des modèles de code et des méthodes de monétisation communs, tous semblant être connectés à un seul acteur malveillant sophistiqué.
« L’opération a été nommée d’après la chaîne indicatrice suivante, que l’on retrouve dans certaines variantes du logiciel malveillant: define(‘DOLLY_WAY’, ‘World Domination’). »
Des milliers d’infections furtives
DollyWay v3 est une opération de redirection avancée qui cible les sites WordPress vulnérables en utilisant des failles n-day sur les plugins et les thèmes pour les compromettre.
En février 2025, DollyWay génère 10 millions d’impressions frauduleuses par mois en redirigeant les visiteurs du site WordPress vers de faux sites de rencontres, de jeux d’argent, de crypto et de tirages au sort.
La campagne est monétisée via les réseaux d’affiliation VexTrio et LosPollos après filtrage des visiteurs via un système de guidage du trafic (TDS).
Un système de répartition du trafic analyse et redirige le trafic Web en fonction de divers aspects d’un visiteur, tels que son emplacement, son type d’appareil et son référent. Les cybercriminels utilisent couramment des systèmes TDS malveillants pour rediriger les utilisateurs vers des sites de phishing ou des téléchargements de logiciels malveillants.
Les sites Web sont piratés via une injection de script avec « wp_enqueue_script », qui charge dynamiquement un deuxième script à partir du site compromis.
La deuxième étape collecte les données de référence des visiteurs pour aider à catégoriser le trafic de redirection, puis charge le script TDS qui décide de la validité des cibles.
Les visiteurs directs du site Web qui n’ont pas de référent, ne sont pas des robots (le script contient une liste codée en dur de 102 agents utilisateurs de robots connus) et ne sont pas des utilisateurs WordPress connectés (y compris les administrateurs) sont considérés comme invalides et ne sont pas redirigés.
La troisième étape sélectionne trois sites infectés aléatoires pour servir de nœuds TDS, puis charge le JavaScript caché de l’un d’eux pour effectuer la redirection finale vers les pages frauduleuses VexTrio ou LosPollos.
Le logiciel malveillant utilise des paramètres de suivi des affiliés pour garantir que les attaquants sont payés pour chaque redirection.
Il convient de noter que la redirection finale ne se produit que lorsque le visiteur interagit avec un élément de page (clics), évitant ainsi les outils d’analyse passifs qui examinent uniquement les chargements de page.
L’auto-réinfection garantit la persistance
Sinegubko explique que DollyWay est une menace très persistante qui réinfecte automatiquement un site à chaque chargement de page, il est donc particulièrement difficile de le supprimer.
Il y parvient en diffusant son code PHP sur tous les plugins actifs et ajoute également une copie du plugin WP Code (s’il n’est pas déjà installé) qui contient des extraits de logiciels malveillants obscurcis.
WP Code est un plugin tiers permettant aux administrateurs d’ajouter de petits extraits de « code » qui modifient les fonctionnalités de WordPress sans modifier directement les fichiers de thème ou le code WordPress.
Dans le cadre d’une attaque, les pirates masquent le code WP de la liste des plugins WordPress afin que les administrateurs ne puissent pas le voir ou le supprimer, ce qui complique la désinfection.
Dolly Way crée également des utilisateurs administrateurs nommés d’après des chaînes hexadécimales aléatoires de 32 caractères et garde ces comptes masqués dans le panneau d’administration. Ils ne sont visibles que par inspection directe de la base de données.
GoDaddy a partagé la liste complète des indicateurs de compromission (IOC) associés à Dolly Way pour aider à se défendre contre cette menace.
Il publiera plus de détails sur l’infrastructure de l’opération et les tactiques changeantes dans un article de suivi.