Платформа WordPress управляет контентом 43,5% интернет-ресурсов, что делает её постоянной мишенью киберпреступников. В марте специалисты по безопасности из GoDaddy раскрыли многолетнюю хакерскую кампанию, продолжающуюся с 2016 года. За восемь лет злоумышленники смогли взломать свыше 20 000 WordPress-сайтов по всему миру.
Операция названа DollyWay World Domination из-за характерной строки кода define (‘DOLLY_WAY’, ‘World Domination’). Злоумышленники внедряют многофункциональные вредоносные сценарии, главная задача которых — переадресация посетителей на сторонние страницы. На февраль 2025 года зафиксировано более 10 000 инфицированных ресурсов.
Для взлома эксплуатируются уязвимости в расширениях и шаблонах WordPress. Первоначально размещается безобидный скрипт, незаметный для систем статического анализа HTML. Этот скрипт загружает опасные компоненты для сбора данных о жертвах, связи с серверами управления и непосредственной подмены адресов. Технические подробности механизма описаны в первоисточнике.
Как преступники монетизируют свою схему
Ссылки перенаправления содержат партнёрские идентификаторы, аналогичные реферальным системам в легальном маркетинге. Монетизация DollyWay построена на сотрудничестве с партнёрскими сетями VexTrio и Lospollos.
VexTrio называют «киберпреступным Uber». Сервис функционирует с 2017 года, выступая посредником в распространении мошеннических предложений, вредоносных программ и запрещённого контента. Эта платформа обрабатывает трафик с заражённых сайтов, направляя его на фишинговые ресурсы.
В зависимости от собранных данных о жертве, пользователей перенаправляют на сайты определённых категорий: фиктивные сервисы знакомств, криптоплатформы, онлайн-казино и прочие.
Lospollos ориентирован на продажу трафика легальным площадкам. При переадресации на одобренные сервисы (например, Google Play, Tinder или TikTok) в ссылках используется единый партнёрский идентификатор Lospollos.
Как DollyWay скрывает свое присутствие на зараженных сайтах
Зловред применяет сложные методы маскировки. Код внедряется во все активные расширения, а механизм повторного заражения активируется при каждой загрузке страницы. Удаление возможно только при одновременной очистке всех компонентов.
Для скрытого доступа создаётся невидимый в админ-панели аккаунт администратора. Дополнительно зловред перехватывает учётные данные реальных владельцев через отслеживание ввода в формах авторизации.
Преступники поддерживают работоспособность ресурсов через специальные скрипты, которые обновляют движок, устанавливают компоненты и повторно внедряют вредоносный код. Обнаружена веб-оболочка, защищающая заражённые сайты от конкурентов и проблем с безопасностью.
Подобные инструменты используются выборочно — только на наиболее ценных активах из-за высоких затрат на поддержку инфраструктуры.
Как защитить сайт своей компании
Продолжительность атаки DollyWay подчёркивает важность регулярных проверок безопасности. Для WordPress критичен контроль за расширениями и темами — основными векторами взлома.
При подозрении на заражение отслеживайте операции с файлами: некоторые варианты DollyWay v3 выполняют их при каждом посещении страницы.
При обнаружении угрозы рекомендуется:
- Временно отключить ресурс или перенаправить трафик на статичную страницу. Минимальная мера — деактивация всех расширений.
- Удалить подозрительные плагины, учитывая их возможную невидимость в панели управления.
- Ликвидировать скрытые административные учётные записи.
- Обновить пароли всех пользователей, особенно администраторов.
- Включить двухэтапную аутентификацию для входа.
- При необходимости — обратиться к внешним экспертам по кибербезопасности.
