In acht jaar tijd wist de zogeheten DollyWay-malware meer dan 20.000 WordPress-sites te infecteren. Getroffen doelwitten herleiden internetbezoekers naar scamsites. Het vormt de basis voor DollyWay’s uitgesproken wens tot ‘werelddominantie’.
De malwarecampagne, genaamd “DollyWay World Domination” door een onderzoeksteam van GoDaddy, is sinds 2016 actief. Het heeft in acht jaar tijd niet stilgezeten; inmiddels is het toe aan versie 3. DollyWay anno 2025 maakt gebruik van een netwerk van gecompromitteerde WordPress-sites die functioneren als Traffic Direction System (TDS) en Command and Control (C2)-knooppunten.
Geavanceerde technieken voor persistentie
DollyWay v3 oogt zeer geavanceerd. De malware gebruikt cryptografisch ondertekende gegevensoverdracht, verschillende injectiemethoden verspreid over bestanden en databases, en automatische herinfectiemechanismen. Samen vormt dit een imposante featureset die de meeste malware slechts gedeeltelijk bevat. Opvallend is dat de aanvallers actief concurrerende malware zelfs verwijderen. Het voert zelfs WordPress-updates uit om controle over de geïnfecteerde sites te behouden. Deze darwinistische trekjes maken het nog lastiger voor slachtoffers om door te krijgen dat hun site gecompromitteerd is, aangezien tekenen van andere infecties worden uitgewist.
Het injectieproces van de malware werkt in vier stappen, dat detectie door beveiligingstools probeert te omzeilen. Het uiteindelijke doel is om bezoekers van geïnfecteerde websites door te sturen naar scampagina’s, voornamelijk via het VexTrio/LosPollos-netwerk, een van de grootste bekende cybercriminele netwerken.
Persistente herinfectie en verborgen beheerders
Een van de meest verontrustende aspecten van DollyWay is het geavanceerde herinfectiemechanisme. De malware injecteert zichzelf in alle actieve plugins en als WPCode-snippets, en voert een herinfectieprocedure uit telkens wanneer een WordPress-pagina wordt geopend. Dit maakt het bijzonder moeilijk om de malware volledig te verwijderen, zelfs na detectie ervan.
Daarnaast creëert de malware verborgen beheerdersaccounts met willekeurige hexadecimale gebruikersnamen en verzamelt het inloggegevens van legitieme beheerders. De aanvallers verbergen ook de aanwezigheid van de WPCode-plugin in het WordPress-dashboard om ontdekking te voorkomen.
Deze technieken maken DollyWay tot een bijzonder hardnekkige bedreiging voor WordPress-sites, vergelijkbaar met eerdere grootschalige aanvallen op het populaire CMS-platform. Eerder dit jaar waarschuwde de Belgische securityspecialist C/side nog voor een andere grootschalige malware-aanval die verouderde WordPress-versies en -plugins misbruikte.
Langdurige evolutie
De GoDaddy-onderzoekers hebben verschillende malwarecampagnes aan elkaar kunnen koppelen die eerder als afzonderlijk werden beschouwd, waaronder Master134, Fake Browser Updates en CountsTDS. Deze blijken allemaal onderdeel te zijn van dezelfde operatie die al acht jaar actief is.
DollyWay weet te profiteren van een groot aanvalsoppervlak. Onderzoek van WordFence toonde vorig jaar al aan dat het aantal kwetsbaarheden in plugins en thema’s voor WordPress in 2023 verdubbelde. De cijfers gaan dus juist de verkeerde kant op voor de verdedigers.
Websitebeheerders worden, zoals altijd bij dergelijke infectiecampagnes, aangeraden om WordPress en alle plugins up-to-date te houden. Ook moet men verdachte beheerdersaccounts controleren en regelmatig beveiligingsscans uitvoeren om dergelijke malware-infecties te voorkomen.