AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### DollyWay intensifica la explotación de plugins y temas de WordPress: más de 8 años infectando sitios y redirigiendo tráfico malicioso

admin

#### 1. Introducción

La amenaza persistente denominada DollyWay ha mantenido una actividad significativa desde 2016, explotando vulnerabilidades en plugins y temas de WordPress para comprometer sitios web y redirigir el tráfico legítimo hacia páginas maliciosas. Este fenómeno, lejos de ser anecdótico, pone de manifiesto la necesidad de una gestión proactiva y avanzada de la seguridad en los sistemas de gestión de contenidos (CMS) más populares del mundo, especialmente entre los administradores de sistemas, equipos SOC y responsables de ciberseguridad corporativa.

#### 2. Contexto del Incidente o Vulnerabilidad

WordPress, que actualmente impulsa alrededor del 43% de los sitios web a nivel mundial según W3Techs, es un objetivo natural para campañas de malware como DollyWay. El vector de ataque principal consiste en la explotación de plugins y temas vulnerables —tanto gratuitos como premium—, aprovechándose de la falta de actualizaciones, configuraciones inseguras y la proliferación de repositorios no oficiales. Desde 2016, DollyWay ha mostrado resiliencia y adaptabilidad, evolucionando en sus técnicas para sortear controles y evadir soluciones de seguridad tradicionales.

#### 3. Detalles Técnicos

##### CVEs y vectores de ataque

DollyWay se apoya en vulnerabilidades conocidas (CVE) presentes en plugins y temas desactualizados, entre las que destacan:

– **CVE-2023-23488 (Elementor Page Builder)**
– **CVE-2022-31474 (WPBakery)**
– **CVE-2021-24284 (Contact Form 7)**

Los atacantes emplean técnicas de inyección de código malicioso (principalmente JavaScript y PHP), escalada de privilegios y carga de shells web para persistencia. Una vez comprometido el sitio, se modifica el código fuente de los archivos del tema o plugin, insertando scripts que redirigen el tráfico hacia dominios bajo control de los atacantes.

##### TTPs y MITRE ATT&CK

Las tácticas y técnicas observadas se alinean con las siguientes categorías del marco MITRE ATT&CK:

– **Initial Access (T1190):** Explotación de vulnerabilidades en servicios públicos.
– **Persistence (T1505.003):** Insertar componentes maliciosos en aplicaciones web.
– **Defense Evasion (T1070.004):** Manipulación de archivos y ocultación de artefactos.
– **Command and Control (T1105):** Descarga de payloads y comunicación con servidores C2.

##### Indicadores de Compromiso (IoC)

– Modificaciones en archivos `functions.php`, `header.php` y `footer.php`.
– Inyección de scripts en archivos JavaScript del tema.
– Redirecciones HTTP 302/307 a dominios sospechosos.
– Conexiones salientes a dominios generados algorítmicamente (DGA).

##### Herramientas y frameworks utilizados

Se han detectado exploits en frameworks como Metasploit y kits personalizados orientados a CMS. Además, los atacantes suelen automatizar el proceso de escaneo y explotación mediante herramientas como WPScan.

#### 4. Impacto y Riesgos

Las campañas de DollyWay han afectado a miles de sitios WordPress en todo el mundo, con estimaciones que superan el 5% de los sitios infectados en ciertas oleadas detectadas por firmas de ciberseguridad. Los riesgos principales incluyen:

– Redirección de usuarios a páginas de phishing, malware o fraude publicitario.
– Pérdida de reputación para empresas y proveedores de servicios web.
– Penalizaciones SEO y bloqueo por parte de motores de búsqueda.
– Potenciales sanciones por incumplimiento de normativas (GDPR, NIS2) ante brechas de datos personales.

#### 5. Medidas de Mitigación y Recomendaciones

– **Actualización inmediata** de plugins, temas y el core de WordPress.
– **Eliminación de plugins y temas no utilizados** o procedentes de fuentes no oficiales.
– Implementación de **WAFs personalizados** y monitorización continua de integridad de archivos (ej. OSSEC, WPScan).
– Restricción de permisos de escritura en archivos críticos.
– Auditorías periódicas de logs y análisis de tráfico saliente.
– Uso de autenticación multifactor (MFA) y políticas de contraseñas robustas.
– Copias de seguridad regulares y pruebas de restauración.

#### 6. Opinión de Expertos

Analistas de Kaspersky y Sucuri coinciden en que la longevidad de DollyWay se debe a la falta de concienciación y recursos en la gestión de la seguridad en entornos WordPress, especialmente en pymes y organizaciones sin equipos de ciberseguridad dedicados. Según Maria Namestnikova, directora del Global Research & Analysis Team de Kaspersky, “la automatización y la amplia base de usuarios convierten a WordPress en terreno fértil para cibercriminales que buscan escala y persistencia”.

#### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben considerar a WordPress como un activo crítico, sujeto a políticas de hardening y gestión de vulnerabilidades al mismo nivel que cualquier otro sistema expuesto. La exposición continuada a DollyWay puede derivar en pérdidas económicas, daño reputacional y sanciones legales, especialmente bajo el paraguas de regulaciones europeas como GDPR y NIS2, que exigen notificación de incidentes y medidas proactivas de protección.

#### 8. Conclusiones

DollyWay representa una amenaza consolidada y evolutiva en el ecosistema WordPress. La única defensa efectiva reside en la actualización constante, la monitorización activa y la implementación de controles de seguridad avanzados. Para los profesionales del sector, resulta indispensable adoptar un enfoque holístico, integrando inteligencia de amenazas, automatización de auditorías y formación continua en seguridad web.

(Fuente: www.kaspersky.com)