Eine seit Jahren aktive Malware-Kampagne mit dem Namen \u201eDollyWay\u201c hat weltweit \u00fcber 20.000 WordPress-Websites kompromittiert. Die Schadsoftware dient als gro\u00df angelegtes Umleitungssystem, das Besucher infizierter Seiten auf betr\u00fcgerische Websites weiterleitet. Laut Forschern von GoDaddy Security ist die Kampagne bereits seit 2016 aktiv und hat sich \u00fcber die Jahre erheblich weiterentwickelt.<\/p>\n\n\n\n
Die aktuelle Version der Malware, DollyWay v3, nutzt fortgeschrittene Techniken zur Verschleierung und automatischen Reinfektion, um sich hartn\u00e4ckig auf kompromittierten Webseiten zu halten. W\u00e4hrend fr\u00fchere Versionen der Schadsoftware gef\u00e4hrlichere Payloads wie Ransomware oder Banking-Trojaner verbreiteten, steht mittlerweile die Monetarisierung durch betr\u00fcgerische Weiterleitungen im Fokus.<\/p>\n\n\n\n
GoDaddy-Forscher entdeckten, dass vermeintlich separate Malware-Kampagnen in Wirklichkeit zu einer einzigen, gro\u00df angelegten Operation geh\u00f6ren. Sie fanden identische Infrastruktur, \u00e4hnliche Code-Muster und \u00fcbereinstimmende Monetarisierungsstrategien. Der Name \u201eDollyWay\u201c stammt von einer Code-Zeile in der Malware: define(\u201aDOLLY_WAY\u2018, \u201aWorld Domination\u2018)<\/em>.<\/p>\n\n\n\n DollyWay v3 nutzt bekannte Schwachstellen (\u201en-day exploits\u201c) in WordPress-Plugins und -Themes aus, um Websites zu kompromittieren. Laut den Forschern werden \u00fcber das System monatlich rund 10 Millionen betr\u00fcgerische Seitenaufrufe generiert. Die infizierten Websites leiten Besucher auf Fake-Dating-Portale, Gl\u00fccksspielseiten, Krypto-Betrugsseiten und gef\u00e4lschte Gewinnspielangebote weiter.<\/p>\n\n\n\n Die Monetarisierung erfolgt \u00fcber die Affiliate-Netzwerke VexTrio<\/em> und LosPollos<\/em>. Diese Netzwerke zahlen den Angreifern f\u00fcr jede erfolgreiche Umleitung von Nutzern auf betr\u00fcgerische Seiten.<\/p>\n\n\n\n Die Infektion von WordPress-Websites beginnt mit einer Skript-Injektion. Hierbei wird die WordPress-Funktion wp_enqueue_script<\/em> missbraucht, um ein weiteres sch\u00e4dliches Skript zu laden. Dieses Skript \u00fcberpr\u00fcft die Besucher der infizierten Website und kategorisiert sie nach Herkunft, Ger\u00e4tetyp und Referrer-Daten. Nur bestimmte Nutzergruppen werden tats\u00e4chlich auf die betr\u00fcgerischen Seiten weitergeleitet:<\/p>\n\n\n\n Die finale Weiterleitung erfolgt \u00fcber ein Traffic Direction System (TDS), das drei zuf\u00e4llig ausgew\u00e4hlte, bereits infizierte Websites als Knotenpunkte verwendet. Diese laden versteckten JavaScript-Code nach, der die betr\u00fcgerischen Seiten aufruft.<\/p>\n\n\n\n Ein besonders ausgekl\u00fcgelter Trick: Die Weiterleitung erfolgt erst, wenn der Nutzer auf ein Seitenelement klickt. Dadurch wird verhindert, dass passive Analysetools oder Sicherheitssoftware die sch\u00e4dlichen Weiterleitungen bei einfachen Seitenaufrufen entdecken.<\/p>\n\n\n\n Eines der hartn\u00e4ckigsten Merkmale von DollyWay ist seine F\u00e4higkeit zur automatischen Wiederinfektion einer bereinigten Seite. Die Schadsoftware verbreitet ihren Code \u00fcber alle aktiven Plugins eines WordPress-Systems. Zudem installiert sie, falls nicht bereits vorhanden, das WPCode<\/em>-Plugin, das normalerweise f\u00fcr harmlose Anpassungen genutzt wird. Dieses Plugin wird jedoch mit obfuskiertem Schadcode versehen und absichtlich vor Administratoren verborgen, sodass es in der WordPress-Oberfl\u00e4che nicht sichtbar ist.<\/p>\n\n\n\n Zus\u00e4tzlich erstellt die Malware versteckte Administrator-Konten mit zuf\u00e4lligen, 32 Zeichen langen Namen. Diese lassen sich nur \u00fcber eine direkte Datenbankinspektion aufsp\u00fcren, sind aber im WordPress-Dashboard nicht zu sehen.<\/p>\n\n\n\n GoDaddy Security hat eine Liste mit Indikatoren f\u00fcr eine Kompromittierung (IoCs) ver\u00f6ffentlicht, um Webseitenbetreibern bei der Identifikation und Entfernung der Schadsoftware zu helfen. Experten empfehlen WordPress-Administratoren dringend, regelm\u00e4\u00dfige Sicherheitsupdates durchzuf\u00fchren, nur vertrauensw\u00fcrdige Plugins und Themes zu verwenden und eine Web Application Firewall (WAF) einzusetzen, um potenzielle Angriffsversuche zu blockieren.<\/p>\n\n\n\n Die DollyWay-Kampagne zeigt, dass gro\u00df angelegte und gut organisierte Bedrohungen \u00fcber Jahre hinweg bestehen k\u00f6nnen, wenn sie sich geschickt tarnen und weiterentwickeln. Webseitenbetreiber sollten daher verst\u00e4rkt auf Sicherheitsma\u00dfnahmen setzen, um nicht Teil eines riesigen Netzwerks betr\u00fcgerischer Weiterleitungen zu werden.<\/p>\n\n\n\n Weitere Details zu den genauen Infektionsmechanismen und zur Infrastruktur der DollyWay-Malware werden laut GoDaddy in einem sp\u00e4teren Bericht ver\u00f6ffentlicht.<\/p>\n","protected":false},"excerpt":{"rendered":" Eine seit Jahren aktive Malware-Kampagne mit dem Namen \u201eDollyWay\u201c hat weltweit \u00fcber 20.000 WordPress-Websites kompromittiert. Die Schadsoftware dient als gro\u00df […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","ast-disable-related-posts":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"default","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[109,13,209],"tags":[125,119,62,211],"class_list":["post-824","post","type-post","status-publish","format-standard","hentry","category-cybersecurity","category-news","category-wordpress","tag-cybersecurity","tag-malware","tag-news","tag-wordpress"],"_links":{"self":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts\/824","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/comments?post=824"}],"version-history":[{"count":0,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/posts\/824\/revisions"}],"wp:attachment":[{"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/media?parent=824"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/categories?post=824"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/netguide.io\/news\/wp-json\/wp\/v2\/tags?post=824"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Massenhafte Infektionen durch WordPress-Schwachstellen<\/strong><\/h3>\n\n\n\n
Mehrstufige Infektionskette sorgt f\u00fcr Tarnung<\/strong><\/h3>\n\n\n\n
\n
Automatische Reinfektion verhindert Bereinigung<\/strong><\/h3>\n\n\n\n
Schutzma\u00dfnahmen und Konsequenzen<\/strong><\/h3>\n\n\n\n