MADRI 20 mar. (Portaltic/EP) -
Pesquisadores de segurança cibernética alertaram sobre evidências que ligam várias campanhas de malware em uma única operação persistente chamada DollyWay World Domination, que tem como alvo os visitantes do site WordPress e está ativa desde 2016.
A pesquisa, que abrange oito anos de dados, conecta campanhas aparentemente independentes - como Master134 (2016-2020), Fake Browser Updates (2018-2019) e CountsTDS (2020-presente) - em uma cronologia operacional abrangente, que funcionou como um sistema de redirecionamento de golpes em larga escala em sua versão mais recente, DollyWay v3.
Conforme explicado pelo engenheiro de segurança sênior da GoDaddy, Denis Sinegubko, a operação DollyWay World Domination - conhecida como DollyWay - visa principalmente os visitantes de sites WordPress infectados por meio de scripts de redirecionamento injetados, que empregam uma rede distribuída de nós do Traffic Steering System (TDS) hospedados em sites comprometidos.
Esses scripts redirecionam os visitantes para esses sites fraudulentos por meio das redes LosPollos e VexTrio, uma das mais notórias redes de criminosos cibernéticos, que utiliza um sofisticado sistema de distribuição de tráfego e técnicas de geração de domínios para fornecer malware e golpes por meio de redes sociais.
De acordo com Sinegubko, a última variante do malware DollyWay (v3) é mais sofisticada, empregando várias camadas de ofuscação, verificação criptográfica de cargas úteis maliciosas e mecanismos de reinfecção. Ela também injeta códigos maliciosos entre arquivos e bancos de dados e exclui malwares concorrentes de terceiros.
Seu procedimento de infecção é dividido em quatro estágios. No primeiro estágio, a função wp_enqueue_script é explorada para adicionar um link a um script gerado dinamicamente que é carregado a partir da url principal do site sempre que alguém visita um domínio infectado.
Em seguida, ocorre o carregamento dinâmico e a coleta de referenciadores, quando o malware evita as ferramentas de análise da Web e coleta informações sem revelar seu comportamento mal-intencionado. É no terceiro estágio que ele revela suas intenções, com nós atuando como TDS em seus URLs para retornar scripts que iniciam a cadeia de redirecionamento mal-intencionado.
Por fim, o VexTrio controla a cadeia de redirecionamento e os visitantes de um site infectado acabam acessando as páginas fraudulentas. Às vezes, a página de destino final será uma página do Google Play de um aplicativo legítimo, como o Tinder, o TikTok ou o Instagram.
Com base em sua pesquisa, o especialista apontou que, a partir de fevereiro de 2025, mais de 10.000 sites exclusivos do WorPress foram infectados em todo o mundo, gerando cerca de 10 milhões de impressões de páginas da Web com scripts maliciosos injetados para milhões de visitantes com endereços IP exclusivos todos os meses.
Sinegubko reconheceu que o procedimento DollyWay é difícil de controlar, porque é uma ameaça muito persistente, que reinfecta automaticamente um site toda vez que ele é carregado, o que o torna particularmente difícil de neutralizar. Ele também distribui seu código PHP malicioso nos vários plug-ins ativos na plataforma e adiciona uma cópia do plug-in WPCode nos computadores em que ele não está instalado. Ele também contém fragmentos de malware ofuscados.
Como parte desse ataque, os criminosos cibernéticos ocultam o WPCode da lista de plug-ins do WordPress, para que os administradores não possam vê-lo ou removê-lo, complicando ainda mais a desinfecção dos dispositivos.
Esta notícia foi traduzida por um tradutor automático