Desde 2016, una operación de malware conocida como DollyWay ha estado activa, infectando más de 20,000 sitios WordPress en todo el mundo. Su objetivo principal ha sido redirigir a los visitantes de estas páginas hacia sitios web maliciosos, poniendo en riesgo tanto la seguridad de los sitios afectados como la información de sus usuarios.
Con el paso de los años, esta campaña ha evolucionado y se ha vuelto cada vez más sofisticada, utilizando técnicas avanzadas para evadir la detección, reinfectar sitios y generar ingresos ilícitos. En su versión más reciente, DollyWay v3 se ha centrado en redirecciones masivas, pero en el pasado también ha distribuido amenazas más peligrosas, como ransomware y troyanos bancarios. Si tienes un sitio WordPress, es fundamental que conozcas cómo funciona este malware, qué riesgos implica y, lo más importante, cómo proteger tu web de esta amenaza.
Expertos en seguridad de GoDaddy encontraron pruebas que apuntan a que varias campañas de malware, que antes parecían casos aislados, en realidad forman parte de una sola operación masiva conocida como 'DollyWay World Domination'.
Según el informe, estos ataques comparten la misma infraestructura, patrones de código muy similares y formas comunes de obtener dinero, lo que indica que todo está orquestado por un único actor de amenazas bastante sofisticado.
El curioso nombre 'DollyWay World Domination' viene de una cadena de texto que los investigadores encontraron en algunas variantes del malware: define('DOLLY_WAY', 'World Domination'). Un detalle que deja claro que esta operación llevaba tiempo planeándose.
Miles de sitios infectados sin que nadie lo note
La última versión del malware, conocida como DollyWay v3, es una operación de redirección bastante avanzada que se aprovecha de vulnerabilidades en plugins y temas desactualizados de WordPress para infectar sitios web.
Desde febrero de 2025, este malware ha estado generando alrededor de 10 millones de impresiones fraudulentas al mes, redirigiendo a los visitantes a páginas falsas de citas, apuestas, criptomonedas y sorteos engañosos. Todo esto ocurre de forma silenciosa, lo que hace que muchos administradores de sitios no se den cuenta del problema hasta que el daño ya está hecho.
La página de destino DollyWay redirige a las víctimas (Fuente: GoDaddy)
La campaña de malware DollyWay se las ingenia para ganar dinero utilizando redes de afiliados como VexTrio y LosPollos, gracias a un sistema conocido como TDS (Sistema de Distribución de Tráfico).
Este tipo de sistema analiza el tráfico web y redirige a los visitantes según factores como su ubicación, el tipo de dispositivo que usan o desde dónde llegaron al sitio. Los ciberdelincuentes aprovechan esta tecnología para llevar a los usuarios a páginas de phishing o descargas de malware sin que lo noten.
Podría interesarte leer: Gran Ciberataque a WordPress: Cualquier Dato es Valioso para Robar
¿Cómo funciona la infección?
La infección comienza cuando los atacantes inyectan un script malicioso en el sitio web utilizando la función wp_enqueue_script, que carga de forma dinámica otro script desde el sitio comprometido.
Luego, este segundo script recopila información sobre los visitantes para clasificar el tráfico y decidir quién será redirigido.
🔹 Los visitantes directos (que acceden escribiendo la URL en el navegador).
🔹 Los bots (gracias a una lista de 102 agentes de usuario conocidos).
🔹 Los usuarios de WordPress que hayan iniciado sesión (incluyendo administradores).
Estos perfiles se consideran "inválidos" y no son redirigidos, lo que ayuda al malware a mantenerse oculto por más tiempo.
En la siguiente fase, el malware selecciona al azar tres sitios ya infectados para que actúen como "nodos TDS". Desde uno de ellos, se carga un fragmento de JavaScript oculto que finalmente redirige al visitante a páginas fraudulentas asociadas con VexTrio o LosPollos.
Para asegurarse de que los atacantes cobren por cada redirección, el malware utiliza parámetros de seguimiento de afiliados. Además, la redirección solo ocurre cuando el visitante interactúa con la página (como al hacer clic en un enlace), lo que dificulta que las herramientas de seguridad detecten el comportamiento sospechoso mediante análisis pasivos. Este enfoque sofisticado y sigiloso hace que DollyWay sea especialmente peligroso, ya que puede operar durante meses sin levantar sospechas.
Conoce más sobre: Hackean 6,000 Sitios de WordPress con Plugins para Robar Información
DollyWay: Un malware difícil de eliminar que vuelve una y otra vez
Una de las cosas que hace que DollyWay sea tan molesto y peligroso es su capacidad para reinfectar automáticamente el sitio cada vez que se carga una página. Esto significa que, incluso si crees haberlo eliminado, el malware puede reaparecer con facilidad.
Para lograrlo, el malware se infiltra en el código PHP de todos los plugins activos en el sitio. Además, instala una copia del plugin WPCode (si no está presente) y le añade fragmentos de malware ocultos.
WPCode es un plugin legítimo que permite a los administradores agregar fragmentos de código personalizado para modificar WordPress sin tocar directamente los archivos del tema o del propio WordPress. Sin embargo, en este caso, los atacantes lo manipulan para ocultar su malware.
Como parte de su estrategia para pasar desapercibido, los ciberdelincuentes ocultan WPCode de la lista de plugins en el panel de control de WordPress, lo que dificulta que los administradores lo detecten y lo eliminen.
Por si fuera poco, DollyWay también crea cuentas de administrador con nombres aleatorios compuestos por 32 caracteres en formato hexadecimal. Estas cuentas no aparecen en el panel de administración de WordPress, por lo que solo pueden detectarse revisando directamente la base de datos del sitio.
Para ayudar a los propietarios de sitios web a identificar esta amenaza, GoDaddy compartió una lista completa de indicadores de compromiso (IoC) relacionados con DollyWay.
Código PHP ofuscado inyectado en complementos (Fuente: GoDaddy)
