AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Ataques

**DollyWay: Campaña Persistente de Compromiso en WordPress Mediante Plugins y Temas Vulnerables**

admin

### 1. Introducción

Desde 2016, la campaña de amenazas conocida como DollyWay ha mantenido una actividad constante explotando vulnerabilidades en plugins y temas de WordPress para comprometer sitios web legítimos. Este ataque, dirigido tanto a pequeñas empresas como a grandes organizaciones, tiene como objetivo redirigir el tráfico a páginas maliciosas, aprovechando la popularidad y la amplia adopción de WordPress, que actualmente potencia más del 43% de todos los sitios web a nivel mundial. La persistencia de DollyWay evidencia la importancia de una gestión proactiva de parches y la monitorización continua en los entornos basados en WordPress.

### 2. Contexto del Incidente o Vulnerabilidad

La campaña DollyWay se caracteriza por su capacidad para adaptarse a nuevas vulnerabilidades y su enfoque en el ecosistema de plugins y temas de WordPress, tradicionalmente uno de los vectores de ataque más explotados debido a la fragmentación y la frecuente falta de mantenimiento. Los atacantes aprovechan vulnerabilidades conocidas (con y sin CVE asignado) en módulos ampliamente utilizados, como los plugins WP GDPR Compliance (CVE-2018-19207), RevSlider (CVE-2014-9734) o File Manager (CVE-2020-25213), así como en temas premium desactualizados.

DollyWay utiliza técnicas de escaneo automatizado para identificar sitios vulnerables y, tras la explotación, inyecta código malicioso (principalmente JavaScript y PHP ofuscado) que modifica el comportamiento del sitio, redirigiendo a los visitantes hacia dominios controlados por los atacantes.

### 3. Detalles Técnicos

#### Vulnerabilidades y Explotación

DollyWay explota, entre otras, vulnerabilidades de tipo Cross-Site Scripting (XSS), Remote Code Execution (RCE) y Local File Inclusion (LFI). Los atacantes se apoyan en herramientas automáticas y frameworks conocidos como Metasploit para la explotación inicial. Posteriormente, insertan web shells o backdoors en el sistema de archivos de WordPress, generalmente en rutas como `/wp-content/uploads/` o dentro de los propios plugins.

#### Tácticas, Técnicas y Procedimientos (TTP)

– **MITRE ATT&CK**:
– Initial Access (T1190: Exploit Public-Facing Application)
– Persistence (T1505: Web Shell)
– Command and Control (T1071: Application Layer Protocol)
– Impact (T1499: Data Encrypted for Impact)

– **Indicadores de Compromiso (IoC)**
– URLs de redirección a dominios maliciosos (listados en Threat Intelligence Feeds)
– Archivos PHP no autorizados y modificados
– Cambios en la configuración de `.htaccess`
– Actividad inusual en logs de acceso y error de Apache/Nginx

– **Carga Útil y Redirecciones**
– El código inyectado suele conectar con servidores de C2 (Command & Control) mediante HTTP(S), descargando JavaScript adicional para redirección y, en algunos casos, para la explotación de los visitantes (malvertising, cryptojacking, etc.).

### 4. Impacto y Riesgos

Según análisis recientes, se estima que entre el 1,2% y el 1,8% de los sitios WordPress mundiales han sido afectados en algún momento por variantes de DollyWay, lo que supone potencialmente decenas de miles de portales comprometidos simultáneamente. Los principales riesgos asociados incluyen:

– Robo de credenciales de usuarios y administradores
– Pérdida de reputación y confianza por parte de visitantes y clientes
– Inclusión en listas negras de navegadores y motores de búsqueda
– Incumplimiento de normativas como GDPR por fuga o exposición de datos personales
– Pérdidas económicas derivadas de la caída de servicios y la recuperación post-compromiso

### 5. Medidas de Mitigación y Recomendaciones

Las siguientes prácticas son recomendadas para reducir la exposición y el impacto de DollyWay:

– Mantener siempre actualizados WordPress, plugins y temas, especialmente aquellos con historial de vulnerabilidades
– Deshabilitar y eliminar plugins y temas no utilizados
– Utilizar mecanismos WAF (Web Application Firewall) y reglas específicas para detectar patrones de explotación
– Monitorizar logs de acceso, integridad de archivos y cambios en la configuración
– Implementar autenticación multifactor (MFA) para cuentas administrativas
– Realizar auditorías periódicas de seguridad y escaneos de vulnerabilidades

### 6. Opinión de Expertos

Especialistas en ciberseguridad, como los equipos de Kaspersky y Sucuri, subrayan la importancia de la defensa en profundidad en entornos WordPress. Según Ivan Kwiatkowski, analista senior de Kaspersky GReAT, “la modularidad de WordPress es su mayor fortaleza y, a la vez, su talón de Aquiles en términos de seguridad; la vigilancia continua y la capacitación de los administradores sigue siendo crucial”.

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones que dependen de WordPress para su presencia digital deben considerar la gestión de vulnerabilidades como un proceso continuo y estratégico. Bajo el marco de NIS2 y GDPR, la falta de diligencia en la protección y monitorización puede traducirse en sanciones significativas, además de daños reputacionales difíciles de revertir. Los usuarios finales, por su parte, se ven expuestos a campañas de phishing, malware y robo de datos si interactúan con sitios comprometidos.

### 8. Conclusiones

DollyWay representa una amenaza persistente y evolutiva para el ecosistema WordPress, explotando tanto la popularidad como la fragmentación de su arquitectura. La protección efectiva requiere una combinación de actualización constante, monitorización avanzada, segmentación de privilegios y concienciación del personal técnico. Solo mediante una estrategia integral y proactiva se pueden mitigar los riesgos asociados a este tipo de campañas y garantizar la resiliencia frente a nuevas variantes y TTPs emergentes.

(Fuente: www.kaspersky.com)