Крупномасштабная мошенническая рекламная операция под названием «Scallywag» монетизирует пиратские сайты и сайты с сокращением URL-адресов с помощью специально разработанных плагинов WordPress, которые ежедневно генерируют миллиарды мошеннических запросов.
Scallywag был обнаружен компанией HUMAN, занимающейся выявлением ботов и мошенничества. Она выявила сеть из 407 доменов, поддерживающих эту операцию, которая в пике выдавала 1,4 миллиарда мошеннических рекламных запросов в день.
Усилия HUMAN по блокировке и информированию о трафике Scallywag привели к его сокращению на 95%, хотя злоумышленники продемонстрировали устойчивость, меняя домены и переходя на другие модели монетизации.
Построен на плагинах для мошенничества с рекламой WordPress
Законные поставщики рекламы избегают пиратских сайтов и сайтов с сокращением URL-адресов из-за юридических рисков, проблем с безопасностью бренда, мошенничества с рекламой и отсутствия качественного контента.
Scallywag — это мошенническая схема, основанная на четырёх плагинах WordPress, которые помогают киберпреступникам зарабатывать на рискованных и низкокачественных сайтах.
Плагины WordPress, созданные в рамках этой операции, — это Soralink (выпущен в 2016 году), Yu Idea (2017), WPSafeLink (2020) и Droplink (2022).
По словам Human, несколько независимых злоумышленников покупают и используют эти плагины WordPress для создания собственных схем мошенничества с рекламой. Некоторые даже публикуют на YouTube инструкции о том, как именно это делать.
«Эти расширения снижают порог вхождения для потенциальных злоумышленников, которые хотят монетизировать контент, который обычно не монетизируется с помощью рекламы. Действительно, несколько злоумышленников опубликовали видео, в которых обучают других создавать собственные схемы», — объясняет HUMAN.
Droplink — единственное исключение из модели продаж, поскольку он доступен бесплатно и позволяет продавцам зарабатывать деньги разными способами.
Пользователи, которые заходят на пиратские сайты-каталоги, чтобы найти фильмы или программное обеспечение премиум-класса, переходят по встроенным ссылкам с сокращёнными URL-адресами и перенаправляются через инфраструктуру вывода средств.
Сайты-каталоги пиратских программ, которые не могут напрямую размещать рекламу, не обязательно управляются мошенниками. Вместо этого их операторы заключают «серое партнёрство» с мошенниками, чтобы передать им монетизацию на аутсорсинг.
Пиратский сайт (слева), ссылающийся на сайт Scallywag (справа)
В процессе перенаправления посетитель проходит через промежуточные страницы с большим количеством рекламы, которые генерируют мошеннические показы для операторов Scallywag, и в итоге попадает на страницу с обещанным контентом (программным обеспечением или фильмом).
Сайты-посредники — это сайты WordPress с надстройками Scallywag. Они обрабатывают логику перенаправления, загрузку рекламы, CAPTCHA, таймер и механизм маскировки, который показывает чистый блог при проверке рекламной платформы.
Обзор деятельности Scallywag
Разрушающий Scallywag
HUMAN обнаружил активность Scallywag, проанализировав структуру трафика в своей партнерской сети. Например, они заметили высокий объем показов рекламы в блогах WordPress, которые казались безобидными, маскировку и вынужденное ожидание или взаимодействие с CAPTCHA перед перенаправлением.
Один и тот же сайт, на который заходят напрямую (слева) и через URL-сократитель (справа)
Впоследствии компания классифицировала сеть как мошенническую, сотрудничая с поставщиками рекламы, чтобы остановить торги по рекламным запросам и сократить доходы Scallywag.
В ответ на это злоумышленники Scallywag попытались избежать обнаружения, используя новые домены для вывода средств и цепочки открытых перенаправлений, чтобы скрыть реальный источник, но HUMAN сообщает, что они обнаружили и заблокировали и их тоже.
Рекламные запросы Scallywag с течением времени
В результате ежедневный трафик Scallywag, связанный с мошенничеством в рекламе, резко сократился с 1,4 миллиарда до почти нуля, и многие партнёры отказались от этого метода и перешли к другим мошенническим схемам.
Несмотря на то, что экосистема Scallywag экономически потерпела крах, её операторы, скорее всего, продолжат пытаться обойти меры по смягчению последствий и вернуться к получению прибыли.