Especialistas de segurança da GoDaddy descobriram uma campanha maliciosa persistente que está ativa pelo menos desde 2016 e já infetou mais de 20 mil páginas WordPress em todo o mundo. Estima-se que gere 10 milhões de impressões por mês, arrecadando grandes lucros para os agentes.
Segundo os investigadores, a campanha denominada “DollyWay World Domination” redireciona vítimas para sites fraudulentos de encontros, jogos de azar, criptomoedas e sorteios. Além disso, também tem sido utilizada para espalhar ransomware, trojans bancários e ataques de phishing.
Um único agente malicioso altamente persistente
Atualmente na sua terceira iteração, a DollyWay explora vulnerabilidades n-day em plugins e temas para WordPress. Outra estratégia utilizada é a implementação de um Traffic Direction System (TDS), um sistema capaz de filtrar e redirecionar utilizadores com base em informações como localização, dispositivo e referenciador.
Conforme noticiado pela página BleepingComputer, a empresa de segurança GoDaddy destacou que esta campanha tem conseguido manter-se ativa durante tanto tempo por, ao longo dos anos, ter aperfeiçoado as suas técnicas de evasão, reinfeção e monetização.
O redirecionamento dos utilizadores, por exemplo, só ocorre após interagirem com a página, evitando assim a deteção por varreduras de segurança passivas. Os agentes maliciosos também tomaram precauções para não redirecionar utilizadores com sessão iniciada no WordPress, bots e visitantes diretos que acedem sem referenciadores.
A persistência da campanha chegou ao ponto de levar os investigadores da GoDaddy a acreditarem que estavam a analisar múltiplos grupos e campanhas distintas.
"Embora anteriormente consideradas campanhas separadas, a nossa investigação revela que esses ataques partilham infraestrutura, padrões de código e métodos de monetização comuns — todos parecendo estar ligados a um único e sofisticado agente de ameaça", concluiu a GoDaddy.
Num exemplo das várias formas que os agentes maliciosos encontram diariamente para contornar as medidas de segurança de cada página, a “DollyWay World Domination” serve como um alerta para que os utilizadores mantenham os seus antivírus e outros mecanismos de proteção sempre ativos e atualizados.
Hoje esta é a promoção do dia que não podes perder!
