wordpress
Debido a que casi la mitad de los sitios web del mundo funcionan con tecnología del sistema de gestión de contenidos de WordPress, no es de extrañar que los ciberdelincuentes busquen constantemente la forma de aprovecharse de él. El pasado mes de marzo, los investigadores de ciberseguridad de la empresa de alojamiento GoDaddy describieron una campaña que comenzó en 2016 y, desde entonces, ha puesto en riesgo más de 20 000 sitios web de WordPress en todo el mundo.
La campaña se ha denominado “DollyWay World Domination” por una línea de código que se encuentra en el malware utilizado en esta campaña: define (‘DOLLY_WAY’, ‘World Domination’). Como parte de DollyWay, los actores de amenazas inyectan scripts maliciosos con varias capacidades en los sitios web. Su principal objetivo es redirigir a los usuarios de sitios web legítimos a páginas de terceros. En febrero de 2025, los expertos habían registrado más de 10 000 sitios web de WordPress infectados en todo el mundo.
Para poner en peligro los sitios web, los actores maliciosos aprovechan las vulnerabilidades en los complementos y temas de WordPress. Comienzan inyectando un script de aspecto inofensivo que no levanta sospechas entre los sistemas de seguridad que realizan análisis estáticos de código HTML. El script funciona como un infiltrado sigiloso: descarga silenciosamente el código más peligroso que se usa para perfilar a las víctimas, comunicarse con los servidores de comando y control y, en última instancia, redirigir a los visitantes a los sitios infectados. Puedes leer el artículo de investigación original para obtener una descripción detallada de cómo funcionan estos scripts.
Monetización de la campaña maliciosa
Los enlaces de redirección que genera DollyWay incluyen un identificador de afiliado, muy similar a los programas de referencia que los blogueros suelen utilizar para promocionar productos o servicios. Estos identificadores permiten a los sitios web rastrear la procedencia de los usuarios. Los blogueros suelen ganar una comisión por las compras que realizan los visitantes que llegan a través de enlaces de referencia. La campaña DollyWay World Domination se monetiza de manera muy similar, utilizando los programas de afiliación VexTrio y LosPollos.
VexTrio ha sido bautizado el “Uber de la ciberdelincuencia”. Según se informa, activo desde al menos 2017, este servicio actúa principalmente como intermediario de contenido fraudulento, spyware, malware, pornografía, etc. Es VexTrio quien redirige el tráfico de DollyWay a sitios de estafa. Como se señaló anteriormente, el malware perfila a sus víctimas. Según estos perfiles, los usuarios son luego canalizados a varios tipos de sitios web, como sitios de citas falsos, estafas de cifrado o páginas de apuestas.
Aparentemente, LosPollos se especializa en vender tráfico a servicios legítimos. Cada vez que DollyWay redirige tráfico a un sitio promocionado por LosPollos, las redirecciones siempre incluyen el mismo identificador de cuenta de afiliado de LosPollos. La asociación de DollyWay con LosPollos explica por qué, en algunos casos, los redireccionamientos de sitios infectados no conducen a los usuarios a páginas maliciosas, sino a listas de aplicaciones legítimas en Google Play, como Tinder o TikTok.
Cómo se oculta DollyWay en los sitios web que ha infectado
Los ciberdelincuentes tienen mucho cuidado para evitar que su malware se detecte y elimine. Para empezar, el código malicioso se inyecta en cada complemento activo. Eliminarlo no es nada fácil, ya que DollyWay emplea un mecanismo de reinfección avanzado que se activa cada vez que se accede a una página del sitio web vulnerado. Si el código malicioso no se elimina de todos los complementos y fragmentos activos, la carga de cualquier página del sitio web provocará una reinfección.
Detectar DollyWay puede no ser una tarea sencilla, ya que el malware es experto en ocultar su presencia en un sitio web infectado. Para mantener el acceso al sitio vulnerado, los atacantes crean su propia cuenta con privilegios de administrador, y DollyWay oculta esta cuenta del panel de WordPress.
En caso de que se descubran sus cuentas, los atacantes también secuestran las credenciales de administradores legítimos. Para ello, DollyWay controla todo lo que se introduce en el formulario de acceso del administrador del sitio y guarda los datos en un archivo oculto.
Los atacantes también toman medidas para garantizar que sus activos sigan funcionando. Los investigadores encontraron pruebas de un script que aparentemente utilizaban los atacantes para mantener los sitios infectados. Específicamente, puede actualizar WordPress, instalar y actualizar los componentes requeridos e iniciar la inyección de código malicioso.
Los expertos también descubrieron un web shell que los atacantes utilizan, entre otras cosas, para actualizar los sitios vulnerados y mantener alejado el malware rival. Esto demuestra que los atacantes quieren evitar que otros malware secuestren el tráfico o activen alarmas de seguridad que puedan alertar al propietario del sitio.
Los expertos creen que el script de mantenimiento y el web shell no se despliegan en todos los sitios que infecta DollyWay. Mantener una infraestructura de este tipo en los 10 000 sitios requeriría una cantidad de recursos prohibitiva. Lo más probable es que los atacantes solo desplieguen estos scripts en sus activos más valiosos.
Protección del sitio web corporativo
La gran escala y la longevidad de la campaña DollyWay World Domination vuelven a subrayar la necesidad de realizar auditorías de seguridad periódicas de los sitios web de las empresas. Cuando se trata de sitios de WordPress, los complementos y los temas merecen especial atención, ya que han demostrado repetidamente ser las partes más vulnerables de la infraestructura de la plataforma.
Si sospechas que el sitio web de tu empresa ha sido víctima de DollyWay, los investigadores recomiendan vigilar de cerca los eventos de creación y eliminación de archivos. Dicha actividad puede ser un indicador de vulnerabilidad, ya que algunas versiones de DollyWay v3 realizan operaciones con archivos cada vez que se carga una página.
Esto es lo que debes hacer si encuentras indicios de vulnerabilidad:
- Desconecta temporalmente el sitio web afectado y redirige todo el tráfico a una página estática. O, como mínimo, desactiva todos los complementos mientras eliminas el malware.
- Elimina los complementos sospechosos, pero ten en cuenta que DollyWay sabe cómo ocultarlos del panel de control de WordPress.
- Elimina cualquier cuenta de administrador no reconocida; de nuevo, ten en cuenta que DollyWay también puede ocultarlas.
- Cambia las contraseñas de todos los usuarios de WordPress, especialmente de los que tienen privilegios de administrador.
- Activa la autenticación de dos factores para el inicio de sesión de WordPress.
- Si los recursos del equipo interno de infoseguridad son insuficientes, busca la ayuda de especialistas externos en respuesta a incidentes.
Consejos