Una operación de fraude publicitario a gran escala llamada «Scallywag»
monetiza sitios de piratería (películas o software) y acortamiento de URL
mediante plugins de WordPress especialmente diseñados que generan miles de
millones de solicitudes fraudulentas diarias.
Scallywag
fue descubierto por la empresa de detección de bots y fraudes Human
Security, que mapeó una red de 407 dominios que respaldaban la operación, que
alcanzó un máximo de 1.400 millones de solicitudes de anuncios fraudulentos
al día.
Además, y en una línea similar a las amenazas anteriores de Camu y Merry-Go-Round, estos sitios muestran anuncios y contenido de manera diferente cuando se visitan directamente.
Scallywag es una operación de fraude como servicio basada en cuatro plugins de
WordPress que ayuda a los ciberdelincuentes a generar ingresos a partir de
sitios web riesgosos y de baja calidad. Los esfuerzos por bloquear y denunciar
el tráfico de Scallywag han resultado en una reducción del 95%, aunque los
actores de amenazas han demostrado resiliencia rotando dominios y migrando a
otros modelos de monetización.
Los proveedores legítimos de publicidad evitan los sitios de piratería y
acortamiento de URL debido a riesgos legales, preocupaciones sobre la
seguridad de la marca, fraude publicitario y falta de contenido de calidad.
Los plugins de WordPress creados por la operación son Soralink (lanzado en
2016), Yu Idea (2017), WPSafeLink (2020) y Droplink (2022). Human afirma que
varios actores de amenazas independientes compran y utilizan estos plugins de
WordPress para crear sus propios esquemas de fraude publicitario, y algunos
incluso publican tutoriales en YouTube sobre cómo hacerlo.
«Estas extensiones reducen las barreras de entrada para un posible actor de
amenazas que desee monetizar contenido que normalmente no sería monetizable
con publicidad; de hecho, varios actores de amenazas han publicado vídeos
para asesorar a otros sobre cómo crear sus propios esquemas», explica HUMAN.
Droplink es la única excepción al modelo de ventas, ya que está disponible de
forma gratuita mediante la realización de varios pasos para generar ingresos
para los vendedores.
Los usuarios que visitan sitios web de catálogos de piratería para encontrar
películas o software premium hacen clic en enlaces incrustados con URL
acortadas y son redirigidos a través de la infraestructura de cobro de la
operación. El proceso de redirección lleva al visitante a través de páginas
intermediarias repletas de anuncios que generan impresiones fraudulentas para
los operadores de Scallywag, y termina en una página que alberga el contenido
prometido (software o película).
Los sitios intermediarios son sitios de WordPress que ejecutan los
complementos de Scallywag. Estos gestionan la lógica de redirección, la carga
de anuncios, el CAPTCHA, el temporizador y el mecanismo de encubrimiento, que
muestra un blog limpio en las comprobaciones de la plataforma publicitaria.
Interrumpiendo a Scallywag
HUMAN detectó la actividad de Scallywag al analizar los patrones de tráfico en
su red de socios, como el alto volumen de impresiones de anuncios de blogs de
WordPress aparentemente inofensivos, el comportamiento de encubrimiento y los
tiempos de espera forzados o la interacción con CAPTCHA antes de la
redirección.
Posteriormente, clasificó la red como fraudulenta, trabajando con los
proveedores de publicidad para detener la puja por las solicitudes de anuncios
y recortando el flujo de ingresos de Scallywag.
En respuesta, los actores de Scallywag intentaron evadir la detección
utilizando nuevos dominios de cobro y cadenas de redireccionamiento abiertas
para ocultar al remitente real, pero HUMAN afirma que también los detectaron y
bloquearon. Como resultado, el tráfico diario de fraude publicitario de
Scallywag se redujo de 1400 millones a casi cero, y muchos afiliados
abandonaron el método y recurrieron a otras estafas.
Aunque el ecosistema de Scallywag ha colapsado económicamente, es probable que
sus operadores sigan intentando evadir las medidas de mitigación y recuperar
las ganancias.
Fuente:
BC