Una importante operación de fraude publicitario conocida como “ScallyWag” genera 1.400 millones de solicitudes de anuncios fraudulentos todos los días a través de un complemento engañoso de WordPress diseñado para monetizar los sitios web de piratería.
Recientemente, un esquema sofisticado interrumpido por los equipos de investigación e inteligencia de amenazas de Satori humano ha explotado la piratería digital a través de una colección de cuatro extensiones de WordPress que redirigen a los usuarios a través de una página intermediaria en publicidad antes de entregar la URL pirateada o acortada prometida.
Los actores de amenazas usan un conjunto de extensiones de WordPress llamadas ScaryWag para redirigir a los usuarios de servicios de cambio de URL o sitios de catálogo de piratería a uno o más sitios intermedios en efectivo, mostrar muchos anuncios y regresar al contenido pirata prometido o las URL acortadas.
Los cuatro módulos de WordPress identificados en la operación incluyen Soralink (lanzado en 2016), Yu Idea (2017), WPSAFELINK (2020) y Droplink (2022). Scarywag está particularmente interesado en su accesibilidad y promoción de base.
“Estas extensiones reducen las barreras de entrada para los actores de amenaza que desean monetizar el contenido que generalmente no está monetizado como publicidad”, dice el informe.
Numerosos tutoriales de YouTube para entrenar a los aspirantes a piratas digitales destinados a configurar su propio esquema utilizando estos complementos.
Esta operación emplea técnicas sofisticadas de capas de dominio que se clasifican como tergiversadas en la taxonomía de tráfico inválido de la estación de publicidad interactiva (IVT).
Cuando las redes de anuncios o los anunciantes visitaron un sitio de cobro intermediario en persona, aparecieron como blogs inocentes con ubicaciones de anuncios normales.
Sin embargo, cuando los usuarios llegaron a través del portal de piratería, estos mismos sitios se transformaron en páginas saturadas de AD con contenido mínimo.
Encubrimiento y redirector abierto
El análisis técnico muestra que la mayoría de los Wagsites SCULLY tienen una página de catálogo de infracción de derechos de autor que contiene enlaces a formas web que envían y redirigen automáticamente a los usuarios a la versión DeCardo de la página.
El sitio de efectivo de Operation ha adoptado múltiples tácticas para maximizar la impresión de sus anuncios.
El temporizador obliga al usuario a esperar antes de continuar. Captchas que requieren interacción del usuario. Debe desplazarse por toda la página. Múltiples páginas intermedias con pesadas cargas publicitarias.
El operador SCLYWAG ha implementado un redirector abierto que “desinfecta” la información del referente para ofuscar aún más la actividad. Estos redirectores parecen tener su tráfico proveniente de fuentes legítimas, como plataformas de redes sociales y motores de búsqueda en lugar de sitios de piratería.
A esa altura, la cirugía abarcó 407 dominios de efectivo, pero ha reducido drásticamente el tráfico después de la intervención humana en un 95%.
Las compañías de seguridad han implementado medidas para marcar el tráfico Scallywag en plataformas de defensa humana, bloqueando los flujos de ingresos de sus negocios.
“El modelo de amenaza de encubrimiento de dominio sigue siendo una amenaza generalizada y persistente en entornos publicitarios, exacerbados por esquemas fáciles de entender como Scallywag”, señalaron los investigadores.
A pesar de la interrupción significativa, los actores de amenaza han mostrado resiliencia al rotar dominios e investigar métodos de monetización alternativos.
Los clientes que se asocian con humano para la protección de fraude publicitario siguen siendo protegidos a medida que la compañía continúa monitoreando y contrarrestando nuevas adaptaciones del esquema.
La piratería digital sigue siendo un desafío duradero para el ecosistema publicitario, con las agencias de publicidad interactiva estimados miles de millones de pérdidas cada año debido a tales esquemas fraudulentos.
Informe de tendencia de malware 15,000 incidentes del equipo SOC, trimestre de 2025! -> Obtenga una copia gratis
