El Esquema de Malware DollyWay Infecta a Más de 20,000 Sitios de WordPress

Las investigadoras de seguridad de GoDaddy han descubierto una enorme operación de malware llamada “DollyWay World Domination” que ha estado infectando silenciosamente más de 20,000 sitios web desde 2016.

La campaña, nombrada después de una línea de código encontrada en el malware, utiliza sitios de WordPress hackeados para engañar a los visitantes y hacerles clic en páginas de estafa, lo que genera a los atacantes millones de dólares.

La operación ha evolucionado a lo largo de los años, comenzando en 2016 con campañas como Master134 y Actualizaciones Falsas de Navegador. La última versión, DollyWay v3, es altamente avanzada, utilizando trucos ingeniosos para permanecer oculta.

Por ejemplo, puede reinfectar automáticamente los sitios web, eliminar otros malware, e incluso actualizar WordPress para mantener el sitio funcionando sin problemas mientras oculta su actividad maliciosa.

Así es como funciona: Cuando visitas un sitio web infectado, el malware te redirige secretamente a páginas de estafa, a menudo relacionadas con citas, criptomonedas o juegos de azar. Estas estafas son parte de una red más grande dirigida por ciberdelincuentes llamada VexTrio. El malware es tan astuto que evita la detección ignorando a los bots, a los usuarios que han iniciado sesión e incluso a los visitantes locales.

A partir de febrero de 2025, más de 10,000 sitios de WordPress están infectados, generando alrededor de 10 millones de visitas de páginas maliciosas cada mes. El malware está diseñado para permanecer oculto, lo que dificulta que los propietarios de sitios web noten que algo anda mal.

Una de las características más preocupantes de DollyWay v3 es su capacidad para seguir reinfectando sitios web. Cada vez que alguien visita un sitio infectado, el malware verifica para asegurarse de que aún tiene el control. Si encuentra algún plugin de seguridad, lo desactiva. También oculta código malicioso dentro de plugins legítimos y fragmentos de WPCode, lo que dificulta aún más su detección y eliminación.

Los atacantes también crean cuentas de administrador ocultas con nombres de usuario y direcciones de correo electrónico aleatorios. Estas cuentas les permiten acceder al sitio en cualquier momento, incluso si el administrador original intenta eliminarlas. En algunos casos, el malware incluso roba los detalles de inicio de sesión del verdadero administrador para mantener el acceso.

Para empeorar las cosas, el malware utiliza encriptación avanzada para proteger su código y asegurar que solo los atacantes puedan controlarlo. También utiliza una red de 14 sitios web infectados, llamados nodos TDS, para gestionar las redirecciones de la estafa. Estos nodos se actualizan diariamente para mantener la operación funcionando sin problemas.

Se insta a los propietarios de sitios web a revisar sus sitios en busca de signos de infección, como redirecciones inesperadas o cuentas de administrador extrañas. El uso de plugins de seguridad fuertes y mantener WordPress actualizado puede ayudar a protegerse contra este tipo de ataques.