{"id":22854,"date":"2025-06-11T11:22:53","date_gmt":"2025-06-11T09:22:53","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=22854"},"modified":"2025-06-11T11:22:53","modified_gmt":"2025-06-11T09:22:53","slug":"dollyway-world-domination-infects-wordpress-websites","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/dollyway-world-domination-infects-wordpress-websites\/22854\/","title":{"rendered":"DollyWay World Domination : attaque contre les sites WordPress"},"content":{"rendered":"

\u00c9tant donn\u00e9 qu\u2019un peu moins de la moiti\u00e9 des sites dans le monde sont con\u00e7us \u00e0 partir du syst\u00e8me de gestion de contenu WordPress, il n\u2019est pas \u00e9tonnant que les cybercriminels soient constamment \u00e0 la recherche de failles \u00e0 exploiter. En mars dernier, des chercheurs en cybers\u00e9curit\u00e9 de l\u2019entreprise d\u2019h\u00e9bergement GoDaddy ont pr\u00e9sent\u00e9 une campagne<\/a> qui a d\u00e9but\u00e9 en 2016 et qui a depuis compromis plus de 20\u00a0000\u00a0sites WordPress dans le monde.<\/p>\n

La campagne a \u00e9t\u00e9 baptis\u00e9e \u00ab\u00a0DollyWay World Domination\u00a0\u00bb en r\u00e9f\u00e9rence \u00e0 une ligne de code (define (\u2018DOLLY_WAY\u2019, \u2018World Domination\u2019)) trouv\u00e9e dans le programme malveillant de cette campagne. La campagne DollyWay consiste \u00e0 injecter sur les sites Internet des scripts malveillants dot\u00e9s de diverses fonctionnalit\u00e9s. L\u2019objectif principal est de rediriger les utilisateurs de sites authentiques vers des pages tierces. En f\u00e9vrier 2025, les experts avaient recens\u00e9 plus de 10 000 sites Internet WordPress infect\u00e9s dans le monde.<\/p>\n

Pour compromettre les sites Internet, les acteurs malveillants exploitent les vuln\u00e9rabilit\u00e9s de plug-ins et de th\u00e8mes WordPress. Ils commencent par injecter un script d\u2019apparence inoffensive qui ne suscite aucune alerte aupr\u00e8s des syst\u00e8mes de s\u00e9curit\u00e9 effectuant une analyse statique du code HTML. Le script fonctionne comme un outil d\u2019infiltration furtif\u00a0: il t\u00e9l\u00e9charge discr\u00e8tement le code le plus dangereux utilis\u00e9 pour \u00e9tablir le profil des victimes, communiquer avec des serveurs de commandement et contr\u00f4ler et, enfin, rediriger les visiteurs vers les sites infect\u00e9s. Vous pouvez consulter le document de recherche original<\/a> pour obtenir une description d\u00e9taill\u00e9e du fonctionnement de ces scripts.<\/p>\n

Mon\u00e9tisation de la campagne malveillante<\/h2>\n

Les liens de redirection g\u00e9n\u00e9r\u00e9s par DollyWay comportent un identifiant d\u2019affili\u00e9, \u00e0 l\u2019instar des programmes de parrainage que les blogueurs utilisent souvent pour promouvoir des produits ou des services. Ces identifiants permettent aux sites Internet de d\u00e9terminer la provenance des utilisateurs. Les blogueurs per\u00e7oivent g\u00e9n\u00e9ralement une commission sur les achats effectu\u00e9s par les visiteurs qui arrivent par des liens de r\u00e9f\u00e9rence. La campagne DollyWay World Domination est mon\u00e9tis\u00e9e de la m\u00eame mani\u00e8re, en utilisant les programmes d\u2019affiliation VexTrio et LosPollos.<\/p>\n

VexTrio a \u00e9t\u00e9 surnomm\u00e9 \u00ab\u00a0l\u2019Uber de la cybercriminalit\u00e9\u00a0\u00bb<\/a>. Signal\u00e9 comme actif depuis au moins 2017, ce service sert principalement de courtier pour les contenus d\u2019escroquerie, les logiciels espions, les programmes malveillants, la pornographie, etc. C\u2019est VexTrio qui redirige le trafic de DollyWay vers des sites d\u2019escroquerie. Comme indiqu\u00e9 plus haut, le programme malveillant \u00e9tablit le profil de ses victimes. Sur la base de ces profils, les utilisateurs sont ensuite redirig\u00e9s vers diff\u00e9rents types de sites Internet, comme de faux sites de rencontre, des escroqueries aux cryptomonnaies ou des pages de jeux d\u2019argent.<\/p>\n

LosPollos<\/a> serait sp\u00e9cialis\u00e9 dans la vente de trafic vers des services l\u00e9gitimes. Lorsque DollyWay redirige du trafic vers un site promu par LosPollos, les redirections incluent toujours le m\u00eame identifiant de compte d\u2019affili\u00e9 LosPollos. Le partenariat entre DollyWay et LosPollos explique pourquoi, dans certains cas, les redirections de sites infect\u00e9s m\u00e8nent les utilisateurs non pas vers des pages malveillantes, mais vers des listes d\u2019applications authentiques sur Google Play, comme Tinder ou TikTok.<\/p>\n

Comment DollyWay parvient \u00e0 se dissimuler sur les sites Internet infect\u00e9s<\/h2>\n

Les cybercriminels veillent \u00e0 ce que leurs programmes malveillants ne soient pas d\u00e9tect\u00e9s ni supprim\u00e9s. Tout d\u2019abord, le code malveillant est inject\u00e9 dans chaque plug-in actif. L\u2019\u00e9liminer n\u2019est pas une mince affaire, car DollyWay utilise un m\u00e9canisme de r\u00e9infection avanc\u00e9 qui se d\u00e9clenche chaque fois qu\u2019une page du site compromis est consult\u00e9e. Si le code malveillant n\u2019est pas supprim\u00e9 de tous les plug-ins et extraits actifs, le chargement de n\u2019importe quelle page du site entra\u00eenera une r\u00e9infection.<\/p>\n

La d\u00e9tection de DollyWay peut s\u2019av\u00e9rer difficile, car le programme malveillant est capable de dissimuler sa pr\u00e9sence sur un site infect\u00e9. Pour conserver l\u2019acc\u00e8s au site compromis, les pirates cr\u00e9ent leur propre compte avec des privil\u00e8ges d\u2019administrateur, et DollyWay dissimule ce compte dans le tableau de bord de WordPress.<\/p>\n

Si leurs comptes sont d\u00e9couverts, les pirates d\u00e9tournent \u00e9galement les identifiants des v\u00e9ritables administrateurs. Pour ce faire, DollyWay surveille tout ce qui est saisi dans le formulaire de connexion \u00e0 l\u2019administration du site et enregistre les donn\u00e9es dans un fichier cach\u00e9.<\/p>\n

Les auteurs des attaques prennent \u00e9galement des mesures pour s\u2019assurer que leurs ressources restent exploitables. Les chercheurs ont trouv\u00e9 des preuves de l\u2019existence d\u2019un script qui aurait \u00e9t\u00e9 utilis\u00e9 par les pirates pour maintenir les sites infect\u00e9s. Plus pr\u00e9cis\u00e9ment, le script peut mettre \u00e0 jour WordPress, installer et actualiser les composants n\u00e9cessaires, et lancer l\u2019injection d\u2019un code malveillant.<\/p>\n

Les experts ont \u00e9galement d\u00e9couvert un code encoquill\u00e9 que les pirates utilisent, entre autres, pour mettre \u00e0 jour les sites compromis et tenir \u00e0 distance les programmes malveillants rivaux. Cela montre que les pirates veulent \u00e9viter que d\u2019autres programmes malveillants ne d\u00e9tournent le trafic ou ne d\u00e9clenchent des avertissements de s\u00e9curit\u00e9 susceptibles d\u2019alerter le propri\u00e9taire du site.<\/p>\n

Les experts estiment que le script de maintenance et le code encoquill\u00e9 ne sont pas d\u00e9ploy\u00e9s sur tous les sites infect\u00e9s par DollyWay. Le maintien d\u2019une telle infrastructure sur l\u2019ensemble des 10\u00a0000\u00a0sites n\u00e9cessiterait des ressources consid\u00e9rables. Il y a de fortes chances que les pirates ne d\u00e9ploient ces scripts que sur leurs ressources les plus pr\u00e9cieuses.<\/p>\n

Prot\u00e9ger votre site d\u2019entreprise<\/h2>\n

L\u2019ampleur et la long\u00e9vit\u00e9 de la campagne \u00ab\u00a0DollyWay World Domination\u00a0\u00bb soulignent une fois de plus la n\u00e9cessit\u00e9 de proc\u00e9der r\u00e9guli\u00e8rement \u00e0 des audits de s\u00e9curit\u00e9 des sites Internet au sein des entreprises. Lorsqu\u2019il s\u2019agit de sites WordPress, les plug-ins et les th\u00e8mes m\u00e9ritent une attention particuli\u00e8re, car ils se sont av\u00e9r\u00e9s \u00e0 maintes reprises \u00eatre les \u00e9l\u00e9ments les plus vuln\u00e9rables de l\u2019infrastructure de la plateforme.<\/p>\n

Si vous pensez que le site Internet de votre entreprise a \u00e9t\u00e9 victime de DollyWay, les chercheurs recommandent de surveiller de pr\u00e8s les \u00e9v\u00e9nements de cr\u00e9ation et de suppression de fichiers. Une telle activit\u00e9 peut \u00eatre un indicateur de compromission, \u00e9tant donn\u00e9 que certaines versions de DollyWay\u00a0v3 effectuent des op\u00e9rations sur les fichiers chaque fois qu\u2019une page est charg\u00e9e.<\/p>\n

Voici ce que vous devez faire si vous remarquez des signes de compromission.<\/p>\n