Μια ad fraud επιχείρηση μεγάλης κλίμακας (απάτες με διαφημίσεις), που ονομάζεται «Scallywag», δημιουργεί έσοδα από πειρατικούς και URL shortening ιστότοπους μέσω ειδικά κατασκευασμένων WordPress plugins που δημιουργούν δισεκατομμύρια δόλια ad requests καθημερινά.
Η καμπάνια Scallywag αποκαλύφθηκε από την εταιρεία HUMAN, η οποία χαρτογράφησε ένα δίκτυο 407 domains που υποστηρίζουν την απάτη. Σύμφωνα με την εταιρεία, η κακόβουλη επιχείρηση έφτασε μέχρι και τα 1,4 δισεκατομμύρια δόλια ad requests την ημέρα.
Οι προσπάθειες της HUMAN να μπλοκάρει και να αναφέρει το traffic της Scallywag είχαν ως αποτέλεσμα τη συρρίκνωσή της κατά 95%. Ωστόσο, οι επιτιθέμενοι συνέχισαν, αλλάζοντας domains και επιλέγοντας άλλα μοντέλα δημιουργίας εσόδων.
Δείτε επίσης: Η Google ανέστειλε 39 εκατ. ύποπτους για απάτη λογαριασμούς διαφημίσεων
Χρήση WordPress plugins για τη νέα ad fraud επιχείρηση
Οι νόμιμοι πάροχοι διαφημίσεων αποφεύγουν την πειρατεία και τους ιστότοπους URL shortening λόγω των νομικών κινδύνων, των ανησυχιών για την ασφάλεια της επωνυμίας και της έλλειψης ποιοτικού περιεχομένου.
Η Scallywag είναι μια επιχείρηση fraud-as-a-service, που βασίζεται σε τέσσερα WordPress plugins, τα οποία βοηθούν τους εγκληματίες του κυβερνοχώρου να δημιουργούν χρήματα από επικίνδυνους και χαμηλής ποιότητας ιστότοπους.
Αυτά τα WordPress plugins είναι τα: Soralink (κυκλοφόρησε το 2016), Yu Idea (2017), WPSafeLink (2020) και Droplink (2022).
Η Human λέει ότι πολλοί ανεξάρτητοι παράγοντες απειλών αγοράζουν και χρησιμοποιούν τα παραπάνω WordPress plugins για να δημιουργήσουν τα δικά τους προγράμματα ad fraud.
“Αυτές οι επεκτάσεις περιορίζουν το εμπόδιο εισόδου για έναν επίδοξο παράγοντα απειλής που θέλει να δημιουργεί έσοδα από περιεχόμενο που γενικά δεν θα μπορούσε να δημιουργήσει έσοδα από διαφημίσεις. Μάλιστα, αρκετοί παράγοντες απειλών έχουν δημοσιεύσει βίντεο για να καθοδηγήσουν άλλους στη δημιουργία των δικών τους απατών“, εξηγεί η HUMAN.
Το plugin Droplink είναι η μόνη εξαίρεση στο μοντέλο πωλήσεων, καθώς διατίθεται δωρεάν εκτελώντας διάφορα βήματα δημιουργίας χρημάτων για τους πωλητές.
Δείτε επίσης: Συλλήψεις ατόμων για επενδυτική crypto απάτη μέσω AI
Οι χρήστες που επισκέπτονται πειρατικά catalog sites για να βρουν ταινίες ή λογισμικό premium κάνουν κλικ σε ενσωματωμένα URL-shortened links και ανακατευθύνονται μέσω του cashout infrastructure της επιχείρησης.
Τα πειρατικά catalog sites που δεν μπορούν να φιλοξενήσουν απευθείας διαφημίσεις δεν διευθύνονται απαραίτητα από τους χειριστές της ad fraud καμπάνιας Scallywag. Αντίθετα, οι χειριστές τους σχηματίζουν μια «γκρίζα συνεργασία» με απατεώνες διαφημίσεων για την εξωτερική ανάθεση εσόδων.
Η διαδικασία ανακατεύθυνσης οδηγεί τον επισκέπτη μέσω ενδιάμεσων, ad-heavy pages και καταλήγουν σε μια σελίδα που φιλοξενεί το περιεχόμενο που υποσχέθηκε (λογισμικό ή ταινία).
Οι ενδιάμεσοι ιστότοποι είναι ιστότοποι WordPress που εκτελούν τα πρόσθετα Scallywag. Αυτά χειρίζονται την ανακατεύθυνση, τη φόρτωση διαφημίσεων, το CAPTCHA, το timer και τον μηχανισμό απόκρυψης, που εμφανίζει ένα καθαρό blog σε ad platform checks.
Στόχευση της επιχείρησης Scallywag
Η HUMAN εντόπισε τη δραστηριότητα Scallywag αναλύοντας μοτίβα επισκεψιμότητας στο δίκτυο συνεργατών της (π.χ. υψηλός όγκος εμφανίσεων διαφημίσεων από φαινομενικά καλοήθη ιστολόγια WordPress, αλληλεπίδραση CAPTCHA πριν από την ανακατεύθυνση και άλλα).
Στη συνέχεια, χαρακτήρισε το δίκτυο ως δόλιο και συνεργάστηκε με παρόχους διαφημίσεων για να σταματήσει την υποβολή προσφορών για ad requests και να μειώσει τη ροή εσόδων της Scallywag.
Από τη μεριά τους, οι χειριστές της καμπάνιας Scallywag προσπάθησαν να αποφύγουν τον εντοπισμό χρησιμοποιώντας νέα cashout domains και ανοιχτές αλυσίδες ανακατεύθυνσης για να κρύψουν τον πραγματικό σύνδεσμο παραπομπής. Ωστόσο, η HUMAN λέει ότι τα εντόπισε και τα μπλόκαρε. Ως αποτέλεσμα, το καθημερινό traffic μειώθηκε απότομα από 1,4 δισεκατομμύρια requests σε σχεδόν μηδέν. Είναι πιθανό οι χειριστές να συνεχίσουν τις προσπάθειες εφαρμόζοντας νέες μεθόδους για να αποφύγουν τον εντοπισμό.
Δείτε επίσης: Οι ΗΠΑ κατέσχεσαν 8,2 εκατ. δολάρια που συνδέονται με απάτες «Romance Baiting»
Τρόποι προστασίας (για χρήστες, διαχειριστές και διαφημιστές)
👤 Για απλούς χρήστες:
• Απόφυγε πειρατικά sites & URL shorteners που δεν εμπιστεύεσαι.
• Χρησιμοποίησε ad blockers με anti-malvertising δυνατότητες.
• Ενημέρωνε τον browser και τις επεκτάσεις σου τακτικά.
• Απόφυγε το clickbait – πολλές φορές οδηγεί σε τέτοιου είδους domains.
🧑💻 Για διαχειριστές WordPress:
• Επίλεξε μόνο αξιόπιστα plugins, με θετικές αξιολογήσεις και ενεργές ενημερώσεις.
• Χρησιμοποίησε security plugins όπως Wordfence.
• Ενεργοποίησε Web Application Firewall (WAF).
• Σκάναρε συχνά για κακόβουλο κώδικα στον server ή στη βάση δεδομένων.
• Απενεργοποίησε την επεξεργασία αρχείων μέσω WP admin (define(‘DISALLOW_FILE_EDIT’, true); στο wp-config.php).
🧠 Για διαφημιστικά δίκτυα και brands:
• Χρήση ad verification services για ανίχνευση ψεύτικων impressions.
• Υιοθέτηση ads.txt και app-ads.txt σε συνεργασία με publishers.
• Παρακολούθηση για ύποπτη αύξηση traffic ή ad requests.
• Επένδυση σε fraud detection AI.
Πηγή: www.bleepingcomputer.com
 δημιουργεί έσοδα από πειρατικά και URL shortening sites μέσω ειδικά κατασκευασμένων WordPress plugins.){kind=link}