Le malware DollyWay rôde sur WordPress depuis 2016, exploitant des failles pour rediriger les visiteurs vers des sites frauduleux. Découvrez comment ce virus sophistiqué a échappé à la vigilance des experts et pourquoi il représente une menace constante pour les utilisateurs du CMS.
Comment DollyWay infiltre 20 000 sites WordPress et génère des millions de dollars
Par Zineb Mouhoubi
Publié le 20/03/2025 à 12:30
Depuis 2016, le malware DollyWay a infiltré plus de 20 000 sites WordPress dans le monde entier, redirigeant les visiteurs vers des sites frauduleux. Cette campagne malveillante, qui dure depuis huit ans, utilise des techniques de plus en plus sophistiquées pour se maintenir et évoluer, représentant une menace persistante pour les utilisateurs de la plateforme.
DollyWay : une menace persistante depuis huit ans
La campagne DollyWay a été lancée en 2016 et a depuis évolué pour devenir l’une des cyberattaques les plus tenaces ciblant les sites WordPress. D’abord perçu comme un simple malware de redirection, DollyWay est devenu un réseau complexe permettant aux cybercriminels de gagner de l’argent en dirigeant les visiteurs vers des sites de rencontres frauduleuses, de jeux d’argent illégaux, ou encore des plateformes cryptographiques douteuses.
La dernière version du malware, DollyWay v3, utilise des techniques de persistance avancées pour infecter les sites et les garder sous contrôle. Le malware exploite principalement des vulnérabilités de type n-day dans des plugins et thèmes populaires de WordPress, ce qui signifie qu'il utilise des failles déjà connues, mais qui n'ont pas encore été corrigées par les administrateurs des sites. Ces failles de sécurité permettent au malware de pénétrer les sites sans que les utilisateurs ne soient conscients de l'infection.
A malware operation dubbed 'DollyWay' has been underway since 2016, compromising over 20,000 WordPress sites globally to redirect users to malicious sites.
— BleepingComputer (@bleepingcomputer.com) 20 mars 2025 à 00:12
Une attaque sophistiquée avec des réinfections systématiques
L’un des aspects les plus redoutables de DollyWay réside dans sa capacité à réinfecter automatiquement les sites compromis. Dès qu’une page infectée est chargée, le malware se réinstalle, même après avoir été détecté. Cette fonctionnalité repose sur une méthode d’injection sophistiquée qui permet à la compagne de s’étendre à tous les plugins actifs et d'ajouter un plugin WPCode caché qui contient des snippets malveillants.
Ce processus est rendu encore plus complexe par le fait que le malware crée des comptes administrateurs cachés sur les sites infectés, avec des identifiants générés aléatoirement. Ces comptes ne sont visibles que par inspection directe des bases de données, ce qui les rend difficiles à détecter pour les administrateurs. Pour éviter que d’autres malwares concurrents n’interfèrent avec son contrôle, DollyWay supprime également toutes les infections concurrentes.
Les chercheurs de GoDaddy Security ont découvert que le malware s’appuie sur des réseaux d'affiliation, comme VexTrio et LosPollos, pour monétiser ses attaques. En redirigeant des millions de visiteurs vers des pages frauduleuses chaque mois, les cybercriminels derrière cette attaque génèrent d’énormes revenus en fonction du nombre de clics et de visites.
🗞️ DollyWay Malware Campaign Compromises Over 20,000 WordPress Sites
The DollyWay malware campaign has breached 20,000+ WordPress sites since 2016, turning them into scam redirect hubs with its latest v3 twist. GoDaddy researchers warn its persistent reinfection tricks make it a… pic.twitter.com/XeoMDfeklz
— Adam Goss (@gossy_84) March 20, 2025
Une alerte de sécurité globale pour WordPress
La campagne DollyWay met en lumière la vulnérabilité persistante de WordPress face aux attaques par malware, notamment en raison de plugins obsolètes ou non mis à jour. Les chercheurs recommandent vivement aux administrateurs de mettre à jour régulièrement leurs plugins et de vérifier les comptes administrateurs suspects pour éviter une telle compromission. De plus, des outils de sécurité doivent être utilisés pour effectuer des analyses régulières et s’assurer que les sites sont protégés contre ces types d’infections.
Les administrateurs de sites WordPress sont également invités à effectuer une surveillance continue de leurs sites, en particulier pour détecter les signes de présence de plugins cachés ou d’injections malveillantes. Avec l’augmentation des attaques de ce type et l’évolution constante des techniques employées par les cybercriminels, la prudence et l’anticipation des risques sont cruciales pour maintenir la sécurité des sites WordPress.