Operasi penipuan iklan berskala besar yang disebut ‘Scallywag’ memonetisasi situs pemendekan dan pemendekan URL melalui plugin WordPress yang dibuat khusus yang menghasilkan miliaran permintaan penipuan harian.
Scallywag ditemukan oleh perusahaan deteksi bot dan penipuan Human, yang memetakan jaringan 407 domain yang mendukung operasi yang memuncak pada 1,4 miliar permintaan AD penipuan per hari.
Upaya manusia untuk memblokir dan melaporkan lalu lintas Scallywag telah menghasilkannya menyusut sebesar 95%meskipun para aktor ancaman telah menunjukkan ketahanan dengan memutar domain dan pindah ke model monetisasi lainnya.
Dibangun di sekitar plugin penipuan iklan WordPress
Penyedia iklan yang sah menghindari situs pemendekan pembajakan dan URL karena risiko hukum, masalah keamanan merek, penipuan iklan, dan kurangnya konten yang berkualitas.
Scallywag adalah operasi penipuan sebagai layanan yang dibangun di sekitar empat plugin WordPress yang membantu penjahat cyber menghasilkan uang dari situs berisiko dan berkualitas rendah.
Plugin WordPress yang dibuat oleh Operasi adalah Soralink (dirilis pada 2016), Yu Idea (2017), WPSAFELINK (2020), dan Droplink (2022).
Manusia mengatakan beberapa aktor ancaman independen membeli dan menggunakan plugin WordPress ini untuk mengatur skema penipuan iklan mereka sendiri, dengan beberapa tutorial memposting di YouTube tentang bagaimana tepatnya melakukannya.
“Perpanjangan ini menurunkan penghalang untuk masuk untuk calon aktor ancaman yang ingin memonetisasi konten yang umumnya tidak dapat dimonetisasi dengan iklan; memang, beberapa aktor ancaman telah menerbitkan video untuk melatih orang lain tentang menyiapkan skema mereka sendiri,” jelas manusia.
Droplink adalah satu-satunya pengecualian untuk model penjualan, karena tersedia secara gratis dengan melakukan berbagai langkah menghasilkan uang untuk penjual.
Pengguna yang mengunjungi situs katalog pembajakan untuk menemukan film atau perangkat lunak premium, klik pada tautan tertanam yang disematkan dan dialihkan melalui infrastruktur cashout operasi.
Situs katalog pembajakan yang tidak dapat secara langsung meng -host iklan tidak harus dijalankan oleh aktor Scallywag. Sebaliknya, operator mereka membentuk ‘kemitraan abu -abu’ dengan penipu iklan untuk melakukan outsourcing monetisasi.
Sumber: Manusia
Proses pengalihan membawa pengunjung melalui halaman perantara yang berat yang menghasilkan kesan penipuan untuk operator Scallywag, dan berakhir di halaman yang menampung konten yang dijanjikan (perangkat lunak atau film).
Situs perantara adalah situs WordPress yang menjalankan add-ons Scallywag. Mereka yang menangani logika pengalihan, pemuatan iklan, captcha, timer, dan mekanisme cloaking, yang menunjukkan blog bersih pada pemeriksaan platform iklan.
Sumber: Manusia
Mengganggu Scallywag
Aktivitas Scallywag yang terdeteksi manusia dengan menganalisis pola lalu lintas di seluruh jaringan mitra mereka, seperti volume kesan iklan tinggi dari blog WordPress yang tampaknya jinak, perilaku cloaking, dan waktu tunggu paksa atau interaksi captcha sebelum pengalihan.
Sumber: Manusia
Selanjutnya, itu mengklasifikasikan jaringan sebagai penipuan, bekerja dengan penyedia iklan untuk menghentikan penawaran atas permintaan iklan dan memotong aliran pendapatan Scallywag.
Di RSPonse, para aktor Scallywag mencoba menghindari deteksi menggunakan domain cashout baru dan rantai pengalihan terbuka untuk menyembunyikan pengirim yang sebenarnya, tetapi manusia mengatakan mereka mendeteksi dan memblokirnya juga.
Sumber: Manusia
Akibatnya, lalu lintas penipuan iklan harian Scallywag turun tajam dari 1,4 miliar menjadi hampir nol, dengan banyak afiliasi meninggalkan metode dan pindah ke penipuan lainnya.
Meskipun ekosistem Scallywag telah runtuh secara ekonomi, operatornya kemungkinan akan terus berusaha menghindari mitigasi dan kembali ke keuntungan.
