{"id":28213,"date":"2025-06-14T12:16:14","date_gmt":"2025-06-14T18:16:14","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=28213"},"modified":"2025-06-14T12:19:17","modified_gmt":"2025-06-14T18:19:17","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/dollyway-world-domination-infects-wordpress-websites\/28213\/","title":{"rendered":"DollyWay World Domination: ataque a sitios web de WordPress"},"content":{"rendered":"

Debido a que casi la mitad de los sitios web del mundo funcionan con tecnolog\u00eda del sistema de gesti\u00f3n de contenidos de WordPress, no es de extra\u00f1ar que los ciberdelincuentes busquen constantemente la forma de aprovecharse de \u00e9l. El pasado mes de marzo, los investigadores de ciberseguridad de la empresa de alojamiento GoDaddy describieron una campa\u00f1a<\/a> que comenz\u00f3 en 2016 y, desde entonces, ha puesto en riesgo m\u00e1s de 20\u00a0000\u00a0sitios web de WordPress en todo el mundo.<\/p>\n

La campa\u00f1a se ha denominado \u201cDollyWay World Domination\u201d por una l\u00ednea de c\u00f3digo que se encuentra en el malware utilizado en esta campa\u00f1a: define (\u2018DOLLY_WAY\u2019, \u2018World Domination\u2019). Como parte de DollyWay, los actores de amenazas inyectan scripts maliciosos con varias capacidades en los sitios web. Su principal objetivo es redirigir a los usuarios de sitios web leg\u00edtimos a p\u00e1ginas de terceros. En febrero de 2025, los expertos hab\u00edan registrado m\u00e1s de 10\u00a0000\u00a0sitios web de WordPress infectados en todo el mundo.<\/p>\n

Para poner en peligro los sitios web, los actores maliciosos aprovechan las vulnerabilidades en los complementos y temas de WordPress. Comienzan inyectando un script de aspecto inofensivo que no levanta sospechas entre los sistemas de seguridad que realizan an\u00e1lisis est\u00e1ticos de c\u00f3digo HTML. El script funciona como un infiltrado sigiloso: descarga silenciosamente el c\u00f3digo m\u00e1s peligroso que se usa para perfilar a las v\u00edctimas, comunicarse con los servidores de comando y control y, en \u00faltima instancia, redirigir a los visitantes a los sitios infectados. Puedes leer el art\u00edculo de investigaci\u00f3n original<\/a> para obtener una descripci\u00f3n detallada de c\u00f3mo funcionan estos scripts.<\/p>\n

Monetizaci\u00f3n de la campa\u00f1a maliciosa<\/h2>\n

Los enlaces de redirecci\u00f3n que genera DollyWay incluyen un identificador de afiliado, muy similar a los programas de referencia que los blogueros suelen utilizar para promocionar productos o servicios. Estos identificadores permiten a los sitios web rastrear la procedencia de los usuarios. Los blogueros suelen ganar una comisi\u00f3n por las compras que realizan los visitantes que llegan a trav\u00e9s de enlaces de referencia. La campa\u00f1a DollyWay World Domination se monetiza de manera muy similar, utilizando los programas de afiliaci\u00f3n VexTrio y LosPollos.<\/p>\n

VexTrio ha sido bautizado el \u201cUber de la ciberdelincuencia\u201d<\/a>. Seg\u00fan se informa, activo desde al menos 2017, este servicio act\u00faa principalmente como intermediario de contenido fraudulento, spyware, malware, pornograf\u00eda, etc. Es VexTrio quien redirige el tr\u00e1fico de DollyWay a sitios de estafa. Como se se\u00f1al\u00f3 anteriormente, el malware perfila a sus v\u00edctimas. Seg\u00fan estos perfiles, los usuarios son luego canalizados a varios tipos de sitios web, como sitios de citas falsos, estafas de cifrado o p\u00e1ginas de apuestas.<\/p>\n

Aparentemente, LosPollos<\/a> se especializa en vender tr\u00e1fico a servicios leg\u00edtimos. Cada vez que DollyWay redirige tr\u00e1fico a un sitio promocionado por LosPollos, las redirecciones siempre incluyen el mismo identificador de cuenta de afiliado de LosPollos. La asociaci\u00f3n de DollyWay con LosPollos explica por qu\u00e9, en algunos casos, los redireccionamientos de sitios infectados no conducen a los usuarios a p\u00e1ginas maliciosas, sino a listas de aplicaciones leg\u00edtimas en Google Play, como Tinder o TikTok.<\/p>\n

C\u00f3mo se oculta DollyWay en los sitios web que ha infectado<\/h2>\n

Los ciberdelincuentes tienen mucho cuidado para evitar que su malware se detecte y elimine. Para empezar, el c\u00f3digo malicioso se inyecta en cada complemento activo. Eliminarlo no es nada f\u00e1cil, ya que DollyWay emplea un mecanismo de reinfecci\u00f3n avanzado que se activa cada vez que se accede a una p\u00e1gina del sitio web vulnerado. Si el c\u00f3digo malicioso no se elimina de todos los complementos y fragmentos activos, la carga de cualquier p\u00e1gina del sitio web provocar\u00e1 una reinfecci\u00f3n.<\/p>\n

Detectar DollyWay puede no ser una tarea sencilla, ya que el malware es experto en ocultar su presencia en un sitio web infectado. Para mantener el acceso al sitio vulnerado, los atacantes crean su propia cuenta con privilegios de administrador, y DollyWay oculta esta cuenta del panel de WordPress.<\/p>\n

En caso de que se descubran sus cuentas, los atacantes tambi\u00e9n secuestran las credenciales de administradores leg\u00edtimos. Para ello, DollyWay controla todo lo que se introduce en el formulario de acceso del administrador del sitio y guarda los datos en un archivo oculto.<\/p>\n

Los atacantes tambi\u00e9n toman medidas para garantizar que sus activos sigan funcionando. Los investigadores encontraron pruebas de un script que aparentemente utilizaban los atacantes para mantener los sitios infectados. Espec\u00edficamente, puede actualizar WordPress, instalar y actualizar los componentes requeridos e iniciar la inyecci\u00f3n de c\u00f3digo malicioso.<\/p>\n

Los expertos tambi\u00e9n descubrieron un web shell que los atacantes utilizan, entre otras cosas, para actualizar los sitios vulnerados y mantener alejado el malware rival. Esto demuestra que los atacantes quieren evitar que otros malware secuestren el tr\u00e1fico o activen alarmas de seguridad que puedan alertar al propietario del sitio.<\/p>\n

Los expertos creen que el script de mantenimiento y el web shell no se despliegan en todos los sitios que infecta DollyWay. Mantener una infraestructura de este tipo en los 10\u00a0000\u00a0sitios requerir\u00eda una cantidad de recursos prohibitiva. Lo m\u00e1s probable es que los atacantes solo desplieguen estos scripts en sus activos m\u00e1s valiosos.<\/p>\n

Protecci\u00f3n del sitio web corporativo<\/h2>\n

La gran escala y la longevidad de la campa\u00f1a DollyWay World Domination vuelven a subrayar la necesidad de realizar auditor\u00edas de seguridad peri\u00f3dicas de los sitios web de las empresas. Cuando se trata de sitios de WordPress, los complementos y los temas merecen especial atenci\u00f3n, ya que han demostrado repetidamente ser las partes m\u00e1s vulnerables de la infraestructura de la plataforma.<\/p>\n

Si sospechas que el sitio web de tu empresa ha sido v\u00edctima de DollyWay, los investigadores recomiendan vigilar de cerca los eventos de creaci\u00f3n y eliminaci\u00f3n de archivos. Dicha actividad puede ser un indicador de vulnerabilidad, ya que algunas versiones de DollyWay v3 realizan operaciones con archivos cada vez que se carga una p\u00e1gina.<\/p>\n

Esto es lo que debes hacer si encuentras indicios de vulnerabilidad.<\/p>\n