Aanvallers richten in een langlopende malwarecampagne hun pijlen op WordPress-websites. In acht jaar tijd zijn meer dan 20.000 websites door de campagne getroffen. Eenmaal binnen proberen de aanvallers zo lang mogelijk toegang te houden tot de getroffen sites, onder meer door het updaten van WordPress en verwijderen van eventuele andere malware.

Dit blijkt uit een analyse van het securityteam van de Amerikaanse hostingprovider GoDaddy. De campagne wordt 'DollyWay World Domination' genoemd. De campagne bestaat uit diverse aanvallen op WordPress-websites, die op het eerste oog los van elkaar lijken te staan. Onderzoek van GoDaddy wijst echter uit dat deze aanvallen allen dezelfde infrastructuur gebruiken, terwijl ook gebruikte code en monetariseringsmethoden overeenkomen.

Gebruikers doorverwijzen naar malafide webpagina's

De huidige variant van de gebruikte malware richt zich primair op bezoekers van besmette WordPress-sites. Het injecteert scripts die gebruikers doorverwijzen naar malafide webpagina's. De malware maakt daarbij gebruikt van VexTrio, een van de grootste affiliate-netwerken gericht op cybercriminaliteit.

Hoewel de aanvallers zich momenteel voornamelijk richten op het doorverwijzen van gebruikers naar malafide pagina's om geld te verdienen aan hun campagne, is de campagne in het verleden ook ingezet voor het verspreiden van onder meer ransomware en bankingtrojans. Enkele aanvalscampagnes die eerder als losstaande campagnes zijn geïdentificeerd maar volgens GoDaddy onderdeel uitmaken van DollyWay World Domination zijn Master134, Fake Browser Updates en CountsTDS. Deze laatste campagne is ook bekend onder de namen DollyRAT / Backdoor.PHP.DOLLYWAY.A / Multistage WordPress Redirect Kit / R_Evil web shell.