Uma operação de malware denominada ‘DollyWay’ tem comprometido mais de 20.000 sites WordPress globalmente desde 2016, redirecionando usuários para sites maliciosos. Segundo pesquisadores da GoDaddy, a campanha evoluiu ao longo dos anos, incorporando técnicas avançadas de evasão, reinfecção e monetização. A versão mais recente do DollyWay, identificada como v3, tem funcionado como um sistema de redirecionamento de grande escala para golpes na internet, direcionando vítimas para páginas falsas de namoro, apostas, criptomoedas e sorteios fraudulentos. No entanto, versões anteriores do malware foram ainda mais destrutivas, distribuindo ransomware e trojans bancários.
Os pesquisadores da GoDaddy identificaram conexões entre múltiplas campanhas de malware que antes eram consideradas separadas. “Nossa pesquisa revelou que esses ataques compartilham infraestrutura, padrões de código e métodos de monetização, sugerindo que são parte de uma única e sofisticada operação de ameaças”, explicou a empresa. O nome DollyWay foi inspirado em um código presente em algumas variações do malware: define(‘DOLLY_WAY’, ‘World Domination’). A campanha explora vulnerabilidades conhecidas em plugins e temas do WordPress para comprometer sites vulneráveis. Em fevereiro de 2025, estimou-se que o malware gerava 10 milhões de impressões fraudulentas por mês, redirecionando visitantes para páginas fraudulentas por meio das redes de afiliados VexTrio e LosPollos.
O malware também cria usuários administradores ocultos no painel de administração do WordPress, utilizando nomes gerados aleatoriamente com 32 caracteres hexadecimais. Esses usuários só podem ser visualizados por meio de inspeção direta no banco de dados do site, o que impede que os administradores percebam a invasão facilmente. A GoDaddy publicou uma lista completa de indicadores de comprometimento (IoCs) associados ao DollyWay para ajudar na detecção e mitigação da ameaça. Administradores de sites WordPress são aconselhados a atualizar todos os plugins e temas, revisar permissões de usuários e monitorar atividades suspeitas para evitar novas infecções.
