WordPress

DollyWay World Domination: Angriff auf WordPress-Websites

Seit 2016 nutzen Angreifer unsichere Plugins und Themes, um WordPress-Websites zu infizieren und den Datenverkehr auf bösartige Websites umzuleiten.

Alanna Titterington
10 Jun 2025

Knapp die Hälfte aller Websites weltweit wird mit WordPress betrieben. Kein Wunder also, dass Cyberkriminelle in diesem Content-Management-System ständig nach Schlupflöchern suchen. Im März dieses Jahres berichteten Cybersicherheitsforscher des Hosting-Providers „GoDaddy“ von einer Malware-Kampagne. Sie begann 2016 und hat seitdem weltweit mehr als 20.000 WordPress-Websites unterwandert.

Die Kampagne wurde „DollyWay World Domination“ getauft, nach einer Codezeile, die in der Malware verwendet wurde (define (‚DOLLY_WAY‘, ‚World Domination‘). Im Rahmen von DollyWay injizieren die Cyberkriminellen bösartige Skripte mit variierenden Fähigkeiten auf Websites. Das Hauptziel besteht darin, Nutzer von legitimen Websites auf Drittanbieterseiten umzuleiten. Bis Februar 2025 hatten Experten weltweit über 10.000 infizierte WordPress-Websites erfasst.

Um Websites zu kompromittieren, nutzen die Angreifer Schwachstellen in WordPress-Plugins und -Themes aus. Sie schleusen zunächst ein harmlos aussehendes Skript ein. Bei einer statischen HTML-Code-Analyse durch Sicherheitssysteme werden keine Warnungen auslöst. Das Skript agiert sehr diskret. Es lädt unbemerkt gefährlichen Code herunter, der zur Überwachung von Opfern verwendet wird, kommuniziert mit Command-and-Control-Servern und leitet Besucher schließlich auf infizierte Websites um. Die Funktionsweise dieser Skripte wird in der Originalstudie genau beschrieben.

Monetarisierung der bösartigen Kampagne

Von DollyWay generierte Weiterleitungslinks enthalten eine Partner-ID – ähnlich wie Empfehlungsprogramme, mit denen Blogger häufig für Produkte oder Dienstleistungen werben. Mithilfe dieser IDs können Websites feststellen, woher Nutzer kommen. Blogger erhalten in der Regel eine Provision für Käufe, die auf Empfehlungslinks basieren. Die „DollyWay World Domination“-Kampagne wird auf ähnliche Weise über die Partnerprogramme VexTrio und LosPollos monetarisiert.

VexTrio wird auch das „Uber der Cyberkriminalität“ genannt. Dieser Dienst, der seit 2017 aktiv ist, fungiert in erster Linie als Vermittler für betrügerische Inhalte, Spyware, Malware, Pornografie und ähnlichen Unfug. Es ist VexTrio, das den Datenverkehr von DollyWay auf betrügerische Websites umleitet. Wie bereits erwähnt, erstellt die Malware Profile von ihren Opfern. Basierend auf diesen Profilen werden die Nutzer dann zu verschiedenen Arten von Websites weitergeleitet, z. B. zu gefälschten Dating-Websites, Seiten für Kryptobetrug oder Glücksspielseiten.

LosPollos ist anscheinend darauf spezialisiert, Datenverkehr an legitime Dienste zu verkaufen. Wenn DollyWay den Datenverkehr auf eine von LosPollos beworbene Website umleitet, enthalten die Weiterleitungen immer dieselbe ID des LosPollos-Partnerkontos. Die Kooperation von DollyWay und LosPollos erklärt, warum Weiterleitungen von infizierten Websites in einigen Fällen nicht auf bösartige Seiten führen, sondern zu legitimen Apps bei Google Play (z. B. Tinder oder TikTok).

Wie sich DollyWay auf infizierten Websites verbirgt

Die Cyberkriminellen verhindern mit viel Aufwand, dass ihre Malware entdeckt und entfernt wird. Dazu wird der bösartige Code in jedes aktive Plugin injiziert. Den Schadcode zu entfernen, ist kein Zuckerschlecken. DollyWay verwendet nämlich einen ausgeklügelten Reinfektionsmechanismus, der bei jedem Zugriff auf eine Seite der kompromittierten Website ausgelöst wird. Solange der bösartige Code nicht aus allen aktiven Plugins und Snippets entfernt wird, reicht das Laden einer beliebigen Seite der Website aus, um eine erneute Infektion hervorzurufen.

Auch die Erkennung von DollyWay ist eine harte Nuss, da sich die Malware perfekt auf infizierten Websites versteckt. Um den Zugriff auf die kompromittierte Website aufrechtzuerhalten, erstellen die Angreifer ein eigenes Konto mit Administratorrechten, und DollyWay macht dieses Konto im WordPress-Dashboard unsichtbar.

Falls die Benutzerkonten der Angreifer trotzdem gefunden werden, stehlen sie vorsorglich auch die Anmeldedaten der echten Administratoren. Dazu überwacht DollyWay alle Eingaben im Anmeldeformular des Website-Administrators und speichert die Daten in einer geheimen Datei.

Die Angreifer sorgen auch dafür, dass ihre Assets nicht ausfallen. Die Forscher entdeckten Spuren eines Skripts, das den Angreifern offenbar zur Wartung infizierter Websites diente. Das Skript kann WordPress aktualisieren, erforderliche Komponenten installieren und aktualisieren, und das Einschleusen von bösartigem Code initiieren.

Experten fanden auch eine Web-Shell, die Angreifer neben anderen Tools nutzen, um kompromittierte Websites zu aktualisieren und konkurrierende Malware fernzuhalten. Die Angreifer wollen also um jeden Preis verhindern, dass andere Malware den Datenverkehr kapert oder Sicherheitsalarme auslöst, die den Website-Betreiber alarmieren könnten.

Nach Meinung der Experten werden das Wartungsskript und die Web-Shell nicht auf allen von DollyWay infizierten Websites eingesetzt. Um eine solche Infrastruktur auf allen 10.000 Websites aufrechtzuerhalten, wären einfach zu viele Ressourcen nötig. Vermutlich verwenden die Angreifer diese Skripte nur auf ihren wertvollsten Zielen.

So schützt du die Website deines Unternehmens

Der Umfang und die Langlebigkeit der „DollyWay World Domination“-Kampagne unterstreichen einmal mehr die Notwendigkeit regelmäßiger Sicherheitskontrollen für geschäftliche Websites. Wenn es um WordPress-Websites geht, verdienen Plugins und Themes besondere Aufmerksamkeit. Beide enthalten bekanntlich die meisten Schwachstellen in der Infrastruktur dieser Plattform.

Wenn du vermutest, dass sich DollyWay in die Website deines Unternehmens eingeschlichen hat, empfehlen die Forscher, genau auf Dateien zu achten, die erstellt und gelöscht werden. Solche Aktivitäten können auf eine Kompromittierung hinweisen, denn einige Versionen von DollyWay v3 führen beim Laden einer Seite immer Dateioperationen aus.

Hier erfährst du, was du tun kannst, wenn du Anzeichen eines DollyWay-Angriffs feststellst.

Schalte die betroffene Website vorübergehend offline und leite den gesamten Datenverkehr auf eine statische Seite um. Oder deaktiviere zumindest alle Plugins, während du die Malware entfernst.
Entferne alle verdächtigen Plugins. Behalte jedoch im Hinterkopf, dass sich DollyWay aus dem WordPress-Dashboard ausblenden kann.
Lösche alle unbekannten Administratorkonten. Vorsicht! DollyWay weiß auch, wie man solche Konten versteckt.
Ändere die Passwörter für alle WordPress-Nutzer. Beginne mit den Passwörtern aller Nutzer mit Administratorrechten.
Aktiviere die Zwei-Faktor-Authentifizierung für die WordPress-Anmeldung.
Sollte dein internes Infosec-Team überfordert sein, wende dich an einen externen Spezialisten für die Reaktion auf Vorfälle.

Betrüger versprechen Entschädigungen von einer Bank

Wer hat noch nicht, wer will nochmal?

Betrüger versprechen, dass jeder eine Entschädigung von einer Bank bekommt – absolut jeder. Damit es noch glaubwürdiger wirkt, veröffentlichen sie sogar ein KI-generiertes Deepfake-Nachrichtenvideo.

KOSTENLOSE TOOLS

DollyWay World Domination: Angriff auf WordPress-Websites

Monetarisierung der bösartigen Kampagne

Wie sich DollyWay auf infizierten Websites verbirgt

So schützt du die Website deines Unternehmens

Betrüger nutzen Benachrichtigungen von Microsoft Business für Angriffe

Günstiger als ein Cyberangriff: So geht Cybersicherheit für KMU

Wer hat noch nicht, wer will nochmal?

Tipps

Mobiles Internet mit Kaspersky eSIM Store

Digital Detox auf Nummer sicher

Microsoft Recall in 2025 – jetzt benutzen oder lieber vermeiden?

Violette Links bedrohen deine Privatsphäre

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen

LÖSUNGEN FÜR HEIMANWENDER

KLEINE UNTERNEHMEN

MITTLERE UNTERNEHMEN

GROSSE UNTERNEHMEN

Securelist

Eugene Personal Blog

Enzyklopädie