Эксперты компании Human обнаружили масштабную мошенническую кампанию Scallywag. С ее помощью пиратские сайты и ресурсы с короткими URL получают монетизацию, используя для этого специальные WordPress-плагины, генерирующие миллиарды мошеннических запросов в день.
В общей сложности исследователи выявили сеть из 407 доменов, поддерживающих эту операцию, и сообщили, что пиковая активность Scallywag достигала 1,4 млрд рекламных запросов в день.
Эксперты объясняют, что обычно легальные поставщики рекламы избегают пиратских сайтов и ресурсов с короткими URL, так как работа с ними сопряжена с юридическими рисками, может угрожать безопасности брендов, связана с рекламным мошенничеством и отсутствием качественного контента.
Scallywag работает по схеме FaaS (fraud-as-a-service, «мошенничество-как-услуга») и строится на четырех плагинах для WordPress, которые помогают мошенникам монетизировать опасные и низкокачественные сайты. Плагины носят следующие названия: Soralink (выпущен в 2016 году), Yu Idea (2017), WPSafeLink (2020) и Droplink (2022).
По словам исследователей, множество злоумышленников покупают и используют эти плагины для создания собственных схем рекламного мошенничества, а некоторые даже публикуют на YouTube туториалы о том, как правильно пользоваться Scallywag.
«Эти расширения снижают входной барьер для злоумышленников, желающих монетизировать контент, который, как правило, нельзя монетизировать с помощью рекламы. Более того, некоторые злоумышленники публикуют видео, желая научить других создавать свои собственные рекламные схемы», — пишут специалисты.
Единственным исключением из этой схемы является Droplink, который доступен бесплатно и способен выполнять различные действия по монетизации трафика.
Схема Scallywag работает следующим образом. Пользователь посещает пиратские сайты-каталоги в поисках фильмов или софта, переходит по встроенным ссылкам, пропущенным через сокращатели URL, после чего его перенаправляют через инфраструктуру для монетизации. При этом пиратские сайты, которые не могут напрямую размещать рекламу, не обязательно управляются операторами Scallywag. Вместо этого владельцы сайтов нередко заключают «партнерства» с рекламными мошенниками и передают монетизацию на аутсорс.
В процессе перенаправлений пользователь проходит через многочисленные промежуточные страницы с большим количеством рекламы, и только потом попадает на страницу, где размещен обещанный контент (пиратский софт или фильм).
В роли таких промежуточных сайтов выступают ресурсы под управлением WordPress, на которых установлены плагины Scallywag. Они отвечают за работу редиректов, загрузку рекламы, CAPTCHA, имеют таймеры и механизмы для маскировки, благодаря которым при проверках сайт выглядит как обычный блог.
Исследователи рассказывают, что обнаружили активность Scallywag, анализируя паттерны трафика в своей партнерской сети. Их внимание привлекло большое количество показов рекламы, которое генерировали безобидные на первый взгляд WordPress-блоги, использование маскировки, а также принудительное ожидание и использование CAPTCHA перед очередным редиректом.
В результате аналитики Human классифицировали эту сеть как мошенническую, и совместно с поставщиками рекламы прекратили принимать заявки на размещение рекламы, тем самым перекрыв поток доходов Scallywag.
В ответ на это операторы Scallywag попытались уклониться от обнаружения, используя новые домены и цепочки открытых редиректов, чтобы скрыть настоящего реферера, но эксперты утверждают, что быстро обнаружили и блокировали эту активность.
В настоящее время ежедневный трафик Scallywag упал с 1,4 млрд запросов практически до нуля, а многие клиенты Scallywag перешли к другим нелегальным способам монетизации.
