Les chercheurs de GoDaddy Security révèlent avoir levé le voile sur une vaste campagne de logiciels malveillants intitulée DollyWay. En cours depuis 2016, la cyberattaque a permis de compromettre plus de 20 000 sites reposant sur WordPress.
Les experts indiquent avoir déniché « des preuves reliant plusieurs campagnes de logiciels malveillants à une seule opération de longue date ». Une foule d’indices démontrent que ces campagnes sont l’œuvre d’un groupe de cybercriminels, « unique et sophistiqué ». Toutes les campagnes partagent « des modèles de code et des méthodes de monétisation ».
À lire aussi : 1 milliard d’appareils vulnérables – une puce Bluetooth omniprésente est victime d’une faille
Des failles connues à l’origine de la cyberattaque
Pour compromettre les sites web, les pirates se sont servis de failles de type n-day. Il s’agit de vulnérabilités déjà connues des chercheurs de sécurité, mais pour lesquelles des correctifs n’ont pas encore été déployés ou installés. Ces failles ont été dénichées par les cybercriminels dans le code de différents plugins et de thèmes WordPress.
Notez qu’il n’est pas rare que des plugins WordPress défaillants mettent en danger des milliers ou des millions de sites. L’hiver dernier, une faille de Really Simple Security, un plugin WordPress axé sur la sécurité, a rendu vulnérables plus de quatre millions de sites. Quelques semaines plus tôt, plus de 3 000 sites se retrouvaient dans le viseur des hackers à cause de Popup Builder, un plugin WordPress qui permet de concevoir des popups personnalisables pour les smartphones. Ces extensions servent souvent de porte d’entrée pour les pirates.
À lire aussi : six millions de sites web sont victimes d’une faille de sécurité
Un vaste réseau d’escroqueries
Une fois piratés, les sites servaient à piéger les internautes. Dans la plupart des cas, les sites redirigeaient simplement les visiteurs sur des escroqueries en ligne, comme de faux sites de rencontres amoureuses, des jeux d’argent frauduleux ou des plateformes crypto malveillantes. Les pirates gagnent de l’argent en fonction du nombre d’internautes qui sont redirigés sur ces sites.
« En février 2025, plus de 10 000 sites WordPress distincts ont été infectés à travers le monde, générant environ 10 millions d’affichages de pages web contenant des scripts malveillants. Chaque mois, ces pages compromises ont exposé des millions de visiteurs uniques à des attaques », explique GoDaddy Security.
Les escrocs derrière DollyWay se servent de deux réseaux de monétisation, à savoir LosPollos, un réseau controversé qui est souvent lié à des activités douteuses, et VexTrio, un courtier de trafic malveillant. C’est « l’un des plus grands réseaux d’affiliation cybercriminels connus », indique le rapport des chercheurs.
Comme l’explique GoDaddy Security, certains sites allaient jusqu’à propager de redoutables virus, comme des chevaux de Troie bancaire ou des ransomwares, sur les appareils des visiteurs.
Un virus particulièrement tenace
Très récalcitrant, le malware employé dans le cadre de la campagne DollyWay est capable de réinfecter le site à chaque chargement de page. En d’autres termes, le virus est conçu pour se réinstaller ou se réactiver dès qu’une page du site est visitée.
Le malware s’appuie sur une méthode sophistiquée pour infecter les sites WordPress en étendant son code malveillant à tous les plugins actifs et en ajoutant une copie du plugin WPCode. Ce plugin permet de modifier les fonctionnalités de WordPress. Pour éviter que les administrateurs repèrent le plugin, les pirates ne manquent pas d’astuces. Ils peuvent par exemple cacher le plugin de la liste de toutes les extensions installées sur le site. Prudents, les pirates suppriment aussi tous les virus concurrents qui chercheraient à compromettre un site en même temps qu’eux.
Pour éviter de tomber dans le piège d’un gang de cybercriminels, on encourage tous les administrateurs à installer scrupuleusement toutes les mises à jour de leurs plugins dès que celles-ci sont disponibles.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Source : GoDaddy Security
