DollyWay-malware jaagt al acht jaar op WordPress-sites

In dit artikel:

De DollyWay-malware heeft in de afgelopen acht jaar meer dan 20.000 WordPress-sites geïnfecteerd, met als doel internetgebruikers naar frauduleuze websites te leiden. Deze malwarecampagne, die begon in 2016 en nu versie 3 heeft bereikt, maakt gebruik van een netwerk van gehackte WordPress-sites als Traffic Direction System en Command and Control-knooppunten.

DollyWay v3 is bijzonder geavanceerd en benut cryptografisch ondertekende gegevensoverdracht en verschillende injectiemethoden om detectie te vermijden. Het handhaaft zijn controle door zelfs concurrentiële malware te verwijderen en voordat updates aan te brengen aan geïnfecteerde sites, waardoor slachtoffers moeilijk kunnen merken dat hun site is aangetast.

Het injectieproces van de malware gebeurt in vier stappen, gericht op het omzeilen van beveiligingstools. Een verontrustend kenmerk is het persistente herinfectiemechanisme, waarbij de malware zichzelf in actieve plugins injecteert en verborgen beheerdersaccounts creëert met willekeurige namen. Dit maakt het uitdagend om de malware volledig te verwijderen.

Onderzoekers van GoDaddy hebben ontdekt dat verschillende eerder afzonderlijk beschouwde malwarecampagnes, zoals Master134 en Fake Browser Updates, allemaal onderdeel uitmaken van deze eindeloze DollyWay-operatie. Aangezien het aantal kwetsbaarheden in WordPress-plug-ins en thema’s in 2023 is verdubbeld, nemen de risico’s voor websitebeheerders toe. Ze worden geadviseerd om hun systemen regelmatig bij te werken, verdachte accounts te controleren en beveiligingsscans uit te voeren om infecties te voorkomen.