Depuis 2016, une cyberattaque massive vise les sites WordPress. Plus de 20 000 sites ont été infiltrés par DollyWay, un malware sophistiqué orchestré par un groupe de cybercriminels. Ce virus tire parti des failles de sécurité présentes dans certains plugins et thèmes WordPress pour atteindre ses cibles…
Les experts en sécurité de GoDaddy ont récemment découvert une campagne de logiciels malveillants massive nommée DollyWay. En opération depuis 2016, cette attaque a permis de compromettre plus de 20 000 sites WordPress.
Les spécialistes ont identifié « des éléments reliant plusieurs campagnes de logiciels malveillants à une opération unique et de longue durée ». De nombreux indices suggèrent que ces campagnes sont orchestrées par un groupe de cybercriminels « unique et sophistiqué ». Elles partagent toutes « des motifs de code et des méthodes de monétisation ».
À lire aussi : 1 milliard d’appareils vulnérables – une puce Bluetooth omniprésente est victime d’une faille
Les failles de sécurité WordPress : un terrain fertile pour DollyWay
Pour infiltrer les sites, les pirates exploitent des failles de type n-day. Ces vulnérabilités sont connues des chercheurs, mais les correctifs ne sont pas toujours déployés ou installés. Les cybercriminels exploitent ces failles dans le code de divers plugins et thèmes WordPress.
Régulièrement, des plugins WordPress défectueux mettent en péril des milliers voire des millions de sites. Par exemple, l’hiver dernier, une faille dans Really Simple Security, un plugin de sécurité, a vulnérabilisé plus de quatre millions de sites. Il y a quelques semaines, plus de 3 000 sites ont été ciblés à cause de Popup Builder, un plugin pour concevoir des popups personnalisables. Ces extensions servent souvent de point d’entrée pour les pirates.
À lire aussi : Six millions de sites web sont victimes d’une faille de sécurité
Les escroqueries en ligne : le cœur de la stratégie de DollyWay
Une fois les sites piratés, ils piègent les internautes. Souvent, les sites redirigent les visiteurs vers des arnaques en ligne, telles que de faux sites de rencontres, des jeux d’argent illicites ou des plateformes crypto malveillantes. Les pirates gagnent de l’argent en fonction du trafic redirigé vers ces sites.
« En février 2025, plus de 10 000 sites WordPress distincts ont été infectés à travers le monde, générant environ 10 millions d’affichages de pages web contenant des scripts malveillants. Chaque mois, ces pages compromises exposaient des millions de visiteurs uniques à des attaques », explique GoDaddy Security.
Les escrocs à l’origine de DollyWay utilisent deux réseaux de monétisation, notamment LosPollos, un réseau controversé souvent lié à des activités douteuses, et VexTrio, un courtier de trafic malveillant. C’est « l’un des plus grands réseaux d’affiliation cybercriminels connus », précise le rapport des chercheurs.
Selon GoDaddy Security, certains sites propagent même des virus redoutables, tels que des chevaux de Troie bancaires ou des ransomwares, sur les appareils des visiteurs.
DollyWay : un virus persistant et difficile à éradiquer
Le malware utilisé dans la campagne DollyWay est particulièrement tenace. Il peut se réinstaller à chaque chargement de page. Autrement dit, le virus est programmé pour se réactiver dès qu’une page du site est visitée.
Ce malware utilise une méthode sophistiquée pour infecter les sites WordPress, en étendant son code malveillant à tous les plugins actifs et en ajoutant une copie du plugin WPCode. Ce plugin permet de modifier les fonctionnalités de WordPress. Pour éviter d’être détectés, les pirates dissimulent le plugin dans la liste des extensions installées et suppriment les virus concurrents cherchant à compromettre le site simultanément.
Pour se protéger des cybercriminels, il est conseillé à tous les administrateurs de mettre à jour leurs plugins dès que des correctifs sont disponibles.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.