DollyWay: O Malware que Domina e Redireciona Mais de 20 Mil Sites WordPress Globalmente
O WordPress, responsável por quase metade dos sites do mundo, tornou-se alvo frequente de cibercriminosos devido à sua popularidade e à grande quantidade de plugins e temas vulneráveis. Desde 2016, uma sofisticada campanha de malware chamada “DollyWay World Domination” já comprometeu mais de 20 mil sites WordPress em escala global, com registros recentes apontando mais de 10 mil sites ainda infectados em fevereiro de 2025.
Como o DollyWay Opera
O ataque começa com a exploração de vulnerabilidades em plugins e temas do WordPress. Os criminosos injetam scripts aparentemente inofensivos, que passam despercebidos por sistemas de segurança tradicionais. Esses scripts funcionam como “porta de entrada”, baixando códigos mais perigosos, realizando o perfil dos visitantes e, por fim, redirecionando usuários para páginas de terceiros, muitas vezes fraudulentas ou maliciosas.
A campanha utiliza sistemas avançados de redirecionamento, conhecidos como Traffic Direction System (TDS), que filtram e direcionam os visitantes com base em localização, dispositivo e origem do acesso. O objetivo principal é monetizar o tráfego, utilizando programas de afiliados como VexTrio e LosPollos. Enquanto o VexTrio direciona para golpes, spyware e pornografia, o LosPollos pode redirecionar até para aplicativos legítimos, como Tinder ou TikTok, dependendo do perfil da vítima
Sofisticação e Persistência
O DollyWay se destaca pela capacidade de permanecer oculto e se reinstalar automaticamente. O código malicioso é inserido em todos os plugins ativos, dificultando a remoção. Se não for completamente eliminado, qualquer acesso ao site pode reinfectá-lo. Além disso, os atacantes criam contas administrativas ocultas e monitoram tudo que é digitado nos formulários de login, roubando credenciais legítimas. Eles também utilizam scripts de manutenção para atualizar o WordPress, instalar componentes e impedir que outros malwares assumam o controle do site.
A campanha evolui constantemente, utilizando técnicas como randomização de código, verificação criptográfica de integridade e backdoors para execução de código PHP arbitrário. Em alguns casos, até mesmo ransomware, trojans bancários e ataques de phishing foram distribuídos por meio dos sites comprometidos.
Como se Proteger
A escala e a longevidade do ataque DollyWay reforçam a importância de auditorias regulares de segurança, especialmente em plugins e temas do WordPress. Recomenda-se:
• Monitorar eventos de criação e exclusão de arquivos, pois versões do DollyWay realizam essas operações a cada carregamento de página.
• Colocar o site offline temporariamente ou desativar todos os plugins durante a limpeza.
• Remover plugins e contas administrativas suspeitas, lembrando que o malware pode ocultá-las do painel.
• Alterar todas as senhas, priorizando as contas com privilégios de administrador.
• Habilitar autenticação em dois fatores (2FA).
• Buscar ajuda de especialistas em resposta a incidentes, caso a equipe interna não seja suficiente.
Conclusão
A campanha DollyWay World Domination exemplifica o quanto ameaças persistentes e sofisticadas podem comprometer a integridade de sites WordPress. A prevenção, a atualização constante de plugins e temas, e o monitoramento ativo são essenciais para evitar que sites se tornem parte dessa rede global de fraudes e redirecionamentos maliciosos