{"id":32289,"date":"2025-06-10T16:04:33","date_gmt":"2025-06-10T14:04:33","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=32289"},"modified":"2025-06-18T12:12:42","modified_gmt":"2025-06-18T10:12:42","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/dollyway-world-domination-infects-wordpress-websites\/32289\/","title":{"rendered":"DollyWay World Domination: Angriff auf WordPress-Websites"},"content":{"rendered":"

Knapp die H\u00e4lfte aller Websites weltweit wird mit WordPress betrieben. Kein Wunder also, dass Cyberkriminelle in diesem Content-Management-System st\u00e4ndig nach Schlupfl\u00f6chern suchen. Im M\u00e4rz dieses Jahres berichteten Cybersicherheitsforscher des Hosting-Providers \u201eGoDaddy\u201c von einer Malware-Kampagne<\/a>. Sie begann 2016 und hat seitdem weltweit mehr als 20.000 WordPress-Websites unterwandert.<\/p>\n

Die Kampagne wurde \u201eDollyWay World Domination\u201c getauft, nach einer Codezeile, die in der Malware verwendet wurde (define (\u201aDOLLY_WAY\u2018, \u201aWorld Domination\u2018). Im Rahmen von DollyWay injizieren die Cyberkriminellen b\u00f6sartige Skripte mit variierenden F\u00e4higkeiten auf Websites. Das Hauptziel besteht darin, Nutzer von legitimen Websites auf Drittanbieterseiten umzuleiten. Bis Februar 2025 hatten Experten weltweit \u00fcber 10.000 infizierte WordPress-Websites erfasst.<\/p>\n

Um Websites zu kompromittieren, nutzen die Angreifer Schwachstellen in WordPress-Plugins und -Themes aus. Sie schleusen zun\u00e4chst ein harmlos aussehendes Skript ein. Bei einer statischen HTML-Code-Analyse durch Sicherheitssysteme werden keine Warnungen ausl\u00f6st. Das Skript agiert sehr diskret. Es l\u00e4dt unbemerkt gef\u00e4hrlichen Code herunter, der zur \u00dcberwachung von Opfern verwendet wird, kommuniziert mit Command-and-Control-Servern und leitet Besucher schlie\u00dflich auf infizierte Websites um. Die Funktionsweise dieser Skripte wird in der Originalstudie<\/a> genau beschrieben.<\/p>\n

Monetarisierung der b\u00f6sartigen Kampagne<\/h2>\n

Von DollyWay generierte Weiterleitungslinks enthalten eine Partner-ID\u00a0\u2013 \u00e4hnlich wie Empfehlungsprogramme, mit denen Blogger h\u00e4ufig f\u00fcr Produkte oder Dienstleistungen werben. Mithilfe dieser IDs k\u00f6nnen Websites feststellen, woher Nutzer kommen. Blogger erhalten in der Regel eine Provision f\u00fcr K\u00e4ufe, die auf Empfehlungslinks basieren. Die \u201eDollyWay World Domination\u201c-Kampagne wird auf \u00e4hnliche Weise \u00fcber die Partnerprogramme VexTrio und LosPollos monetarisiert.<\/p>\n

VexTrio wird auch das \u201eUber der Cyberkriminalit\u00e4t\u201c genannt<\/a>. Dieser Dienst, der seit 2017 aktiv ist, fungiert in erster Linie als Vermittler f\u00fcr betr\u00fcgerische Inhalte, Spyware, Malware, Pornografie und \u00e4hnlichen Unfug. Es ist VexTrio, das den Datenverkehr von DollyWay auf betr\u00fcgerische Websites umleitet. Wie bereits erw\u00e4hnt, erstellt die Malware Profile von ihren Opfern. Basierend auf diesen Profilen werden die Nutzer dann zu verschiedenen Arten von Websites weitergeleitet, z.\u00a0B. zu gef\u00e4lschten Dating-Websites, Seiten f\u00fcr Kryptobetrug oder Gl\u00fccksspielseiten.<\/p>\n

LosPollos<\/a> ist anscheinend darauf spezialisiert, Datenverkehr an legitime Dienste zu verkaufen. Wenn DollyWay den Datenverkehr auf eine von LosPollos beworbene Website umleitet, enthalten die Weiterleitungen immer dieselbe ID des LosPollos-Partnerkontos. Die Kooperation von DollyWay und LosPollos erkl\u00e4rt, warum Weiterleitungen von infizierten Websites in einigen F\u00e4llen nicht auf b\u00f6sartige Seiten f\u00fchren, sondern zu legitimen Apps bei Google Play (z.\u00a0B. Tinder oder TikTok).<\/p>\n

Wie sich DollyWay auf infizierten Websites verbirgt<\/h2>\n

Die Cyberkriminellen verhindern mit viel Aufwand, dass ihre Malware entdeckt und entfernt wird. Dazu wird der b\u00f6sartige Code in jedes aktive Plugin injiziert. Den Schadcode zu entfernen, ist kein Zuckerschlecken. DollyWay verwendet n\u00e4mlich einen ausgekl\u00fcgelten Reinfektionsmechanismus, der bei jedem Zugriff auf eine Seite der kompromittierten Website ausgel\u00f6st wird. Solange der b\u00f6sartige Code nicht aus allen aktiven Plugins und Snippets entfernt wird, reicht das Laden einer beliebigen Seite der Website aus, um eine erneute Infektion hervorzurufen.<\/p>\n

Auch die Erkennung von DollyWay ist eine harte Nuss, da sich die Malware perfekt auf infizierten Websites versteckt. Um den Zugriff auf die kompromittierte Website aufrechtzuerhalten, erstellen die Angreifer ein eigenes Konto mit Administratorrechten, und DollyWay macht dieses Konto im WordPress-Dashboard unsichtbar.<\/p>\n

Falls die Benutzerkonten der Angreifer trotzdem gefunden werden, stehlen sie vorsorglich auch die Anmeldedaten der echten Administratoren. Dazu \u00fcberwacht DollyWay alle Eingaben im Anmeldeformular des Website-Administrators und speichert die Daten in einer geheimen Datei.<\/p>\n

Die Angreifer sorgen auch daf\u00fcr, dass ihre Assets nicht ausfallen. Die Forscher entdeckten Spuren eines Skripts, das den Angreifern offenbar zur Wartung infizierter Websites diente. Das Skript kann WordPress aktualisieren, erforderliche Komponenten installieren und aktualisieren, und das Einschleusen von b\u00f6sartigem Code initiieren.<\/p>\n

Experten fanden auch eine Web-Shell, die Angreifer neben anderen Tools nutzen, um kompromittierte Websites zu aktualisieren und konkurrierende Malware fernzuhalten. Die Angreifer wollen also um jeden Preis verhindern, dass andere Malware den Datenverkehr kapert oder Sicherheitsalarme ausl\u00f6st, die den Website-Betreiber alarmieren k\u00f6nnten.<\/p>\n

Nach Meinung der Experten werden das Wartungsskript und die Web-Shell nicht auf allen von DollyWay infizierten Websites eingesetzt. Um eine solche Infrastruktur auf allen 10.000 Websites aufrechtzuerhalten, w\u00e4ren einfach zu viele Ressourcen n\u00f6tig. Vermutlich verwenden die Angreifer diese Skripte nur auf ihren wertvollsten Zielen.<\/p>\n

So sch\u00fctzt du die Website deines Unternehmens<\/h2>\n

Der Umfang und die Langlebigkeit der \u201eDollyWay World Domination\u201c-Kampagne unterstreichen einmal mehr die Notwendigkeit regelm\u00e4\u00dfiger Sicherheitskontrollen f\u00fcr gesch\u00e4ftliche Websites. Wenn es um WordPress-Websites geht, verdienen Plugins und Themes besondere Aufmerksamkeit. Beide enthalten bekanntlich die meisten Schwachstellen in der Infrastruktur dieser Plattform.<\/p>\n

Wenn du vermutest, dass sich DollyWay in die Website deines Unternehmens eingeschlichen hat, empfehlen die Forscher, genau auf Dateien zu achten, die erstellt und gel\u00f6scht werden. Solche Aktivit\u00e4ten k\u00f6nnen auf eine Kompromittierung hinweisen, denn einige Versionen von DollyWay v3 f\u00fchren beim Laden einer Seite immer Dateioperationen aus.<\/p>\n

Hier erf\u00e4hrst du, was du tun kannst, wenn du Anzeichen eines DollyWay-Angriffs feststellst.<\/p>\n