BleepingComputer повідомляє, що більше 20 000 сайтів WordPress по всьому світу були скомпрометовані через взаємодію зі зловмисним програмним забезпеченням DollyWay World Domination, яке було створене ще в 2016 році.
Незважаючи на розповсюдження програм-вимагачів і банківських троянів у своїх попередніх ітераціях, остання кампанія розповсюдження DollyWay v3 була спрямована на сайти WordPress, які використовують уразливі плагіни та теми, щоб полегшити переспрямування на шахрайські сайти криптовалют, азартних ігор, знайомств і тоталізаторів, виявив аналіз GoDaddy.
Після початкового проникнення на веб-сайти за допомогою 'wp_enqueue_script', який дозволяє завантажувати вторинний сценарій, DollyWay v3:4
- отримує дані про відвідувачів сайту;
- завантажує Traffic Direction System;
- вибирає три випадкових сайти як вузли TDS, які містять прихований JavaScript;
- переспрямовує заражені сайти на шахрайські сторінки VexTrio або LosPollos.
Крім того, DollyWay забезпечує стійкість шляхом автоматизації повторного зараження сайту після завантаження кожної нової сторінки на сайті. За словами дослідника Дениса Синегубка, заплутаність встановленого WPCode сильно ускладнює його видалення з постраждалих веб-сайтів.