Uma grande operação de fraude publicitária chamada 'Scallywag' está monetizando sites de pirataria e encurtamento de URL por meio de plugins WordPress especialmente desenvolvidos que geram bilhões de solicitações fraudulentas diariamente.
Scallywag foi descoberto pela empresa de detecção de bots e fraudes, HUMAN, que mapeou uma rede de 407 domínios apoiando a operação, que atingiu o pico de 1,4 bilhão de solicitações de anúncios fraudulentos por dia.
Os esforços da HUMAN para bloquear e denunciar o tráfego de Scallywag resultaram em uma redução de 95%, embora os atores de ameaças tenham demonstrado resiliência, mudando de domínios e migrando para outros modelos de monetização.
Provedores de anúncios legítimos evitam sites de pirataria e encurtamento de URL devido a riscos legais, preocupações com a segurança da marca, fraude em anúncios e falta de conteúdo de qualidade.
Scallywag é uma operação de fraude-como-serviço construída em torno de quatro plugins WordPress que ajudam os cibercriminosos a gerar dinheiro a partir de sites arriscados e de baixa qualidade.
Os plugins WordPress criados pela operação são Soralink (lançado em 2016), Yu Idea (2017), WPSafeLink (2020) e Droplink (2022).
A HUMAN diz que vários atores de ameaças independentes compram e usam esses plugins WordPress para configurar seus próprios esquemas de fraude em anúncios, com alguns até postando tutoriais no YouTube sobre como fazer isso exatamente.
"Essas extensões diminuem a barreira de entrada para um possível ator de ameaça que quer monetizar conteúdo que geralmente não seria monetizável com publicidade; de fato, vários atores de ameaças publicaram vídeos para treinar outros na configuração de seus próprios esquemas", explica a HUMAN.
Droplink é a única exceção ao modelo de vendas, pois está disponível gratuitamente ao realizar várias etapas de geração de dinheiro para os vendedores.
Usuários visitando sites de catálogo de pirataria para encontrar filmes ou software premium clicam em links encurtados embutidos e são redirecionados através da infraestrutura de cashout da operação.
Sites de catálogo de pirataria que não podem hospedar anúncios diretamente não são necessariamente geridos pelos atores do Scallywag.
Em vez disso, seus operadores formam uma 'parceria cinza' com fraudadores de anúncios para terceirizar a monetização.
O processo de redirecionamento leva o visitante através de páginas intermediárias, carregadas de anúncios, que geram impressões fraudulentas para os operadores de Scallywag, e termina em uma página hospedando o conteúdo prometido (software ou filme).
Os sites intermediários são sites WordPress executando os add-ons do Scallywag.
Eles gerenciam a lógica de redirecionamento, carregamento de anúncios, CAPTCHA, temporizador e o mecanismo de ocultação, que mostra um blog limpo nas verificações de plataforma de anúncios.
HUMAN detectou a atividade de Scallywag analisando padrões de tráfego em sua rede de parceiros, como o alto volume de impressões de anúncios de blogs WordPress aparentemente benignos, comportamento de ocultação e tempos de espera forçados ou interação com CAPTCHA antes do redirecionamento.
Posteriormente, classificou a rede como fraudulenta, trabalhando com provedores de anúncios para parar a licitação em solicitações de anúncios e cortar o fluxo de receita de Scallywag.
Em resposta, os atores de Scallywag tentaram evadir a detecção usando novos domínios de cashout e cadeias de redirecionamento aberto para ocultar o referenciador real, mas a HUMAN diz que também detectou e bloqueou esses.
Como resultado, o tráfego diário de fraude em anúncios de Scallywag caiu acentuadamente de 1,4 bilhão para quase zero, com muitos afiliados abandonando o método e migrando para outros golpes.
Embora o ecossistema Scallywag tenha colapsado economicamente, seus operadores provavelmente continuarão tentando evadir as mitigações e retornar aos lucros.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...