DollyWay действует с 2016 года, взломав более 20 000 WordPress-сайтов и перенаправляя посетителей на мошеннические ресурсы. Кампания эволюционировала, внедряя передовые методы обхода защиты, повторного заражения и монетизации.
По данным исследователя GoDaddy Дениса Синегубко, DollyWay v3 — это крупная мошенническая система перенаправлений. Ранее она распространяла программы-вымогатели и банковские трояны.
«Наше исследование показывает, что эти атаки используют общую инфраструктуру и кодовые шаблоны, что указывает на деятельность одной сложной хакерской группировки», — говорится в отчете GoDaddy.
Название кампании связано с обнаруженной строкой в коде:define('DOLLY_WAY', 'World Domination').
DollyWay v3 эксплуатирует уязвимости в плагинах и темах WordPress, обеспечивая постоянный поток мошеннических перенаправлений.
К февралю 2025 года атака генерирует 10 млн показов в месяц, направляя пользователей на поддельные сайты знакомств, казино и криптовалют. Монетизация осуществляется через партнерские сети VexTrio и LosPollos, а направление трафика контролируется системой TDS (Traffic Distribution System). Также необходимо знать, что DollyWay автоматически повторно заражает сайт, что затрудняет удаление.
Аферисты обманули пользователей на 10 миллионов рублей, предлагая фиктивные свидания
