Специалисты по кибербезопасности компании Human выявили крупномасштабную мошенническую операцию Scallywag, использующую специализированные WordPress-плагины для монетизации пиратских ресурсов. Масштаб атаки впечатляет: злоумышленники генерировали до 1,4 миллиарда мошеннических рекламных запросов ежедневно через сеть из 407 скомпрометированных доменов.
Механизм работы мошеннической схемы
Scallywag функционирует по модели «мошенничество-как-услуга» (FaaS), используя четыре ключевых WordPress-плагина: Soralink (2016), Yu Idea (2017), WPSafeLink (2020) и Droplink (2022). Эти инструменты позволяют злоумышленникам монетизировать нелегальный контент, который обычно отвергается легальными рекламными сетями из-за юридических рисков и угроз репутации брендов.
Технические особенности атаки
При посещении пиратского ресурса пользователь проходит через серию редиректов, встречая множество рекламных объявлений на промежуточных страницах. WordPress-сайты с установленными плагинами Scallywag управляют этим процессом, используя сложную систему маскировки, CAPTCHA и таймеры задержки. Для обхода систем защиты сайты маскируются под обычные блоги при проверках.
Противодействие и результаты
После обнаружения подозрительных паттернов трафика аналитики Human совместно с рекламными партнерами заблокировали возможность размещения рекламы через инфраструктуру Scallywag. Несмотря на попытки злоумышленников обойти блокировку через новые домены и цепочки редиректов, эксперты успешно пресекли эту активность. В результате ежедневный трафик мошеннической сети упал практически до нуля.
Данный инцидент демонстрирует растущую изощренность киберпреступников в монетизации нелегального контента и подчеркивает важность постоянного мониторинга подозрительной активности в рекламных сетях. Рекомендуется усилить проверку устанавливаемых WordPress-плагинов и внимательно отслеживать необычные паттерны трафика на веб-ресурсах.
