自2016年开始,一个名为“DollyWay”的大规模恶意软件活动已经入侵了超过2万个WordPress网站。该活动已经持续近十年,将用户重定向到恶意网站,作为一项大规模骗局的一部分。根据GoDaddy研究员Denis Sinegubko的说法,最新版本的恶意软件DollyWay v3作为诈骗重定向系统运行,尽管之前的版本已经分发了更多有害的负载,如勒索软件和银行木马。
GoDaddy的安全研究人员已经确定,各种被认为是独立的恶意软件活动实际上是相互关联的,形成了一个名为“DollyWay World Domination”的单一行动。这个发现基于跨攻击的共享基础设施、代码模式和货币化方法。“DollyWay”这个名字来源于在某些恶意软件变体中发现的特征字符串。
DollyWay v3专门针对易受攻击的WordPress网站,利用插件和主题中的已知漏洞来进行渗透。截至2025年2月,该活动通过将访问者重定向到虚假约会、赌博、加密货币和抽奖网站,每月产生1000万次欺诈性展示。这项活动通过使用流量方向系统,根据访问者属性(如位置、设备类型和推荐来源)分析和重定向网络流量,通过VexTrio和LosPollos联盟网络将这些重定向进行货币化。来源