Une opération de fraude publicitaire à grande échelle appelée « Scallywag » monétise les sites de piratage et de raccourcissement d’URL grâce à des plugins WordPress spécialement conçus qui génèrent des milliards de demandes frauduleuses quotidiennes.
Scallywag a été découvert par la société de détection de robots et de fraudes HUMAN, qui a cartographié un réseau de 407 domaines prenant en charge l’opération qui a culminé à 1,4 milliard de demandes publicitaires frauduleuses par jour.
Les efforts de HUMAN pour bloquer et signaler le trafic Scallywag ont entraîné une réduction de 95% de celui-ci, bien que les acteurs de la menace aient fait preuve de résilience en faisant tourner les domaines et en passant à d’autres modèles de monétisation.
Construit autour des plugins de fraude publicitaire WordPress
Les fournisseurs d’annonces légitimes évitent les sites de piratage et de raccourcissement d’URL en raison des risques juridiques, des problèmes de sécurité de la marque, de la fraude publicitaire et du manque de contenu de qualité.
Scallywag est une opération de fraude en tant que service construite autour de quatre plugins WordPress qui aident les cybercriminels à générer de l’argent à partir de sites risqués et de mauvaise qualité.
Les plugins WordPress créés par l’opération sont Soralink (sorti en 2016), Yu Idea( 2017), WPSafeLink (2020) et Droplink (2022).
Human dit que plusieurs acteurs de la menace indépendants achètent et utilisent ces plugins WordPress pour mettre en place leurs propres stratagèmes de fraude publicitaire, certains publiant même des tutoriels sur YouTube sur la façon exacte de le faire.
« Ces extensions abaissent la barrière à l’entrée pour un acteur potentiel de la menace qui souhaite monétiser du contenu qui ne serait généralement pas monétisable avec de la publicité; en effet, plusieurs acteurs de la menace ont publié des vidéos pour apprendre aux autres à mettre en place leurs propres stratagèmes », explique HUMAN.
Droplink est la seule exception au modèle de vente, car il est disponible gratuitement en effectuant diverses étapes lucratives pour les vendeurs.
Les utilisateurs visitant des sites de catalogue de piratage pour trouver des films ou des logiciels premium cliquent sur des liens URL raccourcis intégrés et sont redirigés via l’infrastructure de retrait de l’opération.
Les sites de catalogue de piratage qui ne peuvent pas héberger directement des publicités ne sont pas nécessairement gérés par des acteurs de Scallywag. Au lieu de cela, leurs opérateurs forment un « partenariat gris » avec des fraudeurs publicitaires pour externaliser la monétisation.
Le processus de redirection fait passer le visiteur par des pages intermédiaires, lourdes en publicités, qui génèrent des impressions frauduleuses pour les opérateurs de Scallywag, et se retrouvent sur une page hébergeant le contenu promis (logiciel ou film).
Les sites intermédiaires sont des sites WordPress exécutant les modules complémentaires Scallywag. Ceux-ci gèrent la logique de redirection, le chargement des annonces, le CAPTCHA, le minuteur et le mécanisme de dissimulation, qui affiche un blog propre sur les vérifications de la plate-forme publicitaire.
Perturber le Sac de Pétoncles
L’HOMME a détecté l’activité Scallywag en analysant les modèles de trafic sur son réseau de partenaires, tels que le volume élevé d’impressions publicitaires provenant de blogs WordPress apparemment bénins, le comportement de dissimulation et les temps d’attente forcés ou l’interaction CAPTCHA avant la redirection.
Par la suite, il a classé le réseau comme frauduleux, travaillant avec des fournisseurs de publicités pour arrêter les enchères sur les demandes de publicités et réduisant le flux de revenus de Scallywag.
En réponse, les acteurs de Scallywag ont tenté d’échapper à la détection en utilisant de nouveaux domaines de retrait et en ouvrant des chaînes de redirection pour masquer le véritable référent, mais HUMAN dit qu’ils les ont également détectés et bloqués.
En conséquence, le trafic quotidien de fraude publicitaire de Scallywag a fortement chuté de 1,4 milliard à presque zéro, de nombreux affiliés abandonnant la méthode et passant à d’autres escroqueries.
Bien que l’écosystème Scallywag se soit effondré économiquement, ses opérateurs continueront probablement d’essayer d’échapper aux mesures d’atténuation et de renouer avec les bénéfices.