Una operación de fraude publicitario a gran escala llamada "Scallywag" monetiza sitios de piratería (películas o software) y acortamiento de URL mediante plugins de WordPress especialmente diseñados que generan miles de millones de solicitudes fraudulentas diarias.
Scallywag fue descubierto por la empresa de detección de bots y fraudes Human Security, que mapeó una red de 407 dominios que respaldaban la operación, que alcanzó un máximo de 1.400 millones de solicitudes de anuncios fraudulentos al día.
Además, y en una línea similar a las amenazas anteriores de Camu y Merry-Go-Round, estos sitios muestran anuncios y contenido de manera diferente cuando se visitan directamente.
Scallywag es una operación de fraude como servicio basada en cuatro plugins de WordPress que ayuda a los ciberdelincuentes a generar ingresos a partir de sitios web riesgosos y de baja calidad. Los esfuerzos por bloquear y denunciar el tráfico de Scallywag han resultado en una reducción del 95%, aunque los actores de amenazas han demostrado resiliencia rotando dominios y migrando a otros modelos de monetización.
Los proveedores legítimos de publicidad evitan los sitios de piratería y acortamiento de URL debido a riesgos legales, preocupaciones sobre la seguridad de la marca, fraude publicitario y falta de contenido de calidad.
Los plugins de WordPress creados por la operación son Soralink (lanzado en 2016), Yu Idea (2017), WPSafeLink (2020) y Droplink (2022). Human afirma que varios actores de amenazas independientes compran y utilizan estos plugins de WordPress para crear sus propios esquemas de fraude publicitario, y algunos incluso publican tutoriales en YouTube sobre cómo hacerlo. "Estas extensiones reducen las barreras de entrada para un posible actor de amenazas que desee monetizar contenido que normalmente no sería monetizable con publicidad; de hecho, varios actores de amenazas han publicado vídeos para asesorar a otros sobre cómo crear sus propios esquemas", explica HUMAN.
Droplink es la única excepción al modelo de ventas, ya que está disponible de forma gratuita mediante la realización de varios pasos para generar ingresos para los vendedores.
Los usuarios que visitan sitios web de catálogos de piratería para encontrar películas o software premium hacen clic en enlaces incrustados con URL acortadas y son redirigidos a través de la infraestructura de cobro de la operación. El proceso de redirección lleva al visitante a través de páginas intermediarias repletas de anuncios que generan impresiones fraudulentas para los operadores de Scallywag, y termina en una página que alberga el contenido prometido (software o película).
Los sitios intermediarios son sitios de WordPress que ejecutan los complementos de Scallywag. Estos gestionan la lógica de redirección, la carga de anuncios, el CAPTCHA, el temporizador y el mecanismo de encubrimiento, que muestra un blog limpio en las comprobaciones de la plataforma publicitaria.
Interrumpiendo a Scallywag
HUMAN detectó la actividad de Scallywag al analizar los patrones de tráfico en su red de socios, como el alto volumen de impresiones de anuncios de blogs de WordPress aparentemente inofensivos, el comportamiento de encubrimiento y los tiempos de espera forzados o la interacción con CAPTCHA antes de la redirección.
Posteriormente, clasificó la red como fraudulenta, trabajando con los proveedores de publicidad para detener la puja por las solicitudes de anuncios y recortando el flujo de ingresos de Scallywag.
En respuesta, los actores de Scallywag intentaron evadir la detección utilizando nuevos dominios de cobro y cadenas de redireccionamiento abiertas para ocultar al remitente real, pero HUMAN afirma que también los detectaron y bloquearon. Como resultado, el tráfico diario de fraude publicitario de Scallywag se redujo de 1400 millones a casi cero, y muchos afiliados abandonaron el método y recurrieron a otras estafas.
Aunque el ecosistema de Scallywag ha colapsado económicamente, es probable que sus operadores sigan intentando evadir las medidas de mitigación y recuperar las ganancias.
Fuente: BC