Zum Inhalt springen

DollyWay-Malware kompromittiert 20.000 WordPress-Websites weltweit

Einige der in diesem Beitrag geteilten Links sind Affiliate-Links. Wenn du auf einen solchen Link klickst und einen Kauf tätigst, erhalten wir eine Affiliate-Provision – ohne zusätzliche Kosten für dich.

Eine seit Jahren aktive Malware-Kampagne mit dem Namen „DollyWay“ hat weltweit über 20.000 WordPress-Websites kompromittiert. Die Schadsoftware dient als groß angelegtes Umleitungssystem, das Besucher infizierter Seiten auf betrügerische Websites weiterleitet. Laut Forschern von GoDaddy Security ist die Kampagne bereits seit 2016 aktiv und hat sich über die Jahre erheblich weiterentwickelt.

Acht Jahre raffinierte Cyberkriminalität

Die aktuelle Version der Malware, DollyWay v3, nutzt fortgeschrittene Techniken zur Verschleierung und automatischen Reinfektion, um sich hartnäckig auf kompromittierten Webseiten zu halten. Während frühere Versionen der Schadsoftware gefährlichere Payloads wie Ransomware oder Banking-Trojaner verbreiteten, steht mittlerweile die Monetarisierung durch betrügerische Weiterleitungen im Fokus.

GoDaddy-Forscher entdeckten, dass vermeintlich separate Malware-Kampagnen in Wirklichkeit zu einer einzigen, groß angelegten Operation gehören. Sie fanden identische Infrastruktur, ähnliche Code-Muster und übereinstimmende Monetarisierungsstrategien. Der Name „DollyWay“ stammt von einer Code-Zeile in der Malware: define(‚DOLLY_WAY‘, ‚World Domination‘).

Massenhafte Infektionen durch WordPress-Schwachstellen

DollyWay v3 nutzt bekannte Schwachstellen („n-day exploits“) in WordPress-Plugins und -Themes aus, um Websites zu kompromittieren. Laut den Forschern werden über das System monatlich rund 10 Millionen betrügerische Seitenaufrufe generiert. Die infizierten Websites leiten Besucher auf Fake-Dating-Portale, Glücksspielseiten, Krypto-Betrugsseiten und gefälschte Gewinnspielangebote weiter.

Die Monetarisierung erfolgt über die Affiliate-Netzwerke VexTrio und LosPollos. Diese Netzwerke zahlen den Angreifern für jede erfolgreiche Umleitung von Nutzern auf betrügerische Seiten.

Mehrstufige Infektionskette sorgt für Tarnung

Die Infektion von WordPress-Websites beginnt mit einer Skript-Injektion. Hierbei wird die WordPress-Funktion wp_enqueue_script missbraucht, um ein weiteres schädliches Skript zu laden. Dieses Skript überprüft die Besucher der infizierten Website und kategorisiert sie nach Herkunft, Gerätetyp und Referrer-Daten. Nur bestimmte Nutzergruppen werden tatsächlich auf die betrügerischen Seiten weitergeleitet:

  • Besucher ohne Referrer (direkter Seitenaufruf) werden nicht weitergeleitet.
  • Bots oder Crawler werden erkannt und ausgesperrt (die Malware enthält eine Liste mit 102 bekannten Bot-User-Agents).
  • Eingeloggte WordPress-Administratoren werden nicht weitergeleitet, um die Entdeckung der Malware zu erschweren.

Die finale Weiterleitung erfolgt über ein Traffic Direction System (TDS), das drei zufällig ausgewählte, bereits infizierte Websites als Knotenpunkte verwendet. Diese laden versteckten JavaScript-Code nach, der die betrügerischen Seiten aufruft.

Ein besonders ausgeklügelter Trick: Die Weiterleitung erfolgt erst, wenn der Nutzer auf ein Seitenelement klickt. Dadurch wird verhindert, dass passive Analysetools oder Sicherheitssoftware die schädlichen Weiterleitungen bei einfachen Seitenaufrufen entdecken.

Automatische Reinfektion verhindert Bereinigung

Eines der hartnäckigsten Merkmale von DollyWay ist seine Fähigkeit zur automatischen Wiederinfektion einer bereinigten Seite. Die Schadsoftware verbreitet ihren Code über alle aktiven Plugins eines WordPress-Systems. Zudem installiert sie, falls nicht bereits vorhanden, das WPCode-Plugin, das normalerweise für harmlose Anpassungen genutzt wird. Dieses Plugin wird jedoch mit obfuskiertem Schadcode versehen und absichtlich vor Administratoren verborgen, sodass es in der WordPress-Oberfläche nicht sichtbar ist.

Zusätzlich erstellt die Malware versteckte Administrator-Konten mit zufälligen, 32 Zeichen langen Namen. Diese lassen sich nur über eine direkte Datenbankinspektion aufspüren, sind aber im WordPress-Dashboard nicht zu sehen.

Schutzmaßnahmen und Konsequenzen

GoDaddy Security hat eine Liste mit Indikatoren für eine Kompromittierung (IoCs) veröffentlicht, um Webseitenbetreibern bei der Identifikation und Entfernung der Schadsoftware zu helfen. Experten empfehlen WordPress-Administratoren dringend, regelmäßige Sicherheitsupdates durchzuführen, nur vertrauenswürdige Plugins und Themes zu verwenden und eine Web Application Firewall (WAF) einzusetzen, um potenzielle Angriffsversuche zu blockieren.

Die DollyWay-Kampagne zeigt, dass groß angelegte und gut organisierte Bedrohungen über Jahre hinweg bestehen können, wenn sie sich geschickt tarnen und weiterentwickeln. Webseitenbetreiber sollten daher verstärkt auf Sicherheitsmaßnahmen setzen, um nicht Teil eines riesigen Netzwerks betrügerischer Weiterleitungen zu werden.

Weitere Details zu den genauen Infektionsmechanismen und zur Infrastruktur der DollyWay-Malware werden laut GoDaddy in einem späteren Bericht veröffentlicht.

von Symalon/TechSnaps

Schlagwörter:

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Verwandte Beiträge

WordPress 2FA

WordPress 2FA Aktivieren: So schützt du deine Website mit Zwei-Faktor-Authentifizierung

WordPress

WordPress Multisite im Root-Verzeichnis und Unabhängige WordPress-Installation im Unterverzeichnis: Wie man beide gleichzeitig betreibt

WordPress

WordPress Multisite im Root-Verzeichnis und Unabhängige WordPress-Installation im Unterverzeichnis: Wie man beide gleichzeitig betreibt

Blogauthor wordpress theme 1024x768 1

7 kostenlose WordPress Themes mit Menüleiste auf der linken Seite

wordpress sym

WordPress Multisite: /blog aus der URL entfernen