Scallywag, utiliza plugins maliciosos de WordPress

Una sofisticada campaña de fraude publicitario digital llamada Scallywag ha sido desmantelada parcialmente tras generar hasta 1.400 millones de solicitudes fraudulentas de anuncios por día. Esta operación global monetizaba sitios de piratería y plataformas de acortamiento de enlaces utilizando complementos de WordPress diseñados específicamente para evadir sistemas de detección y generar ingresos ilegítimos.

El descubrimiento de esta red fue realizado por HUMAN, una reconocida firma de ciberseguridad especializada en detección de bots y fraude en medios digitales. Su investigación reveló una infraestructura formada por 407 dominios que trabajaban de forma coordinada para redirigir a los usuarios a páginas llenas de anuncios falsos, simulando tráfico legítimo para los anunciantes.

Cómo funciona Scallywag: plugins de WordPress y sitios intermediarios

A diferencia de otras campañas de fraude digital, Scallywag opera como un fraude como servicio (FaaS). Su modelo se basa en la distribución de cuatro complementos de WordPress maliciosos que permiten a ciberdelincuentes crear flujos automatizados de ingresos desde sitios con contenido de baja calidad o ilegal. Los plugins identificados son:

• Soralink (2016)
• Yu Idea (2017)
• WPSafeLink (2020)
• Droplink (2022)

Estos complementos han sido utilizados por múltiples actores maliciosos que configuran sus propios esquemas de fraude publicitario. Algunos incluso han subido tutoriales a YouTube explicando cómo instalarlos y utilizarlos, facilitando el acceso a este modelo de monetización fraudulenta.

De los cuatro, Droplink se distribuye gratuitamente, pero obliga a los usuarios a realizar ciertas acciones que generan ingresos a los desarrolladores, como parte de un modelo de afiliación disfrazado.

Monetización de sitios de piratería a través de redirecciones

Scallywag se apoya principalmente en sitios web que ofrecen contenido pirata, como películas, series, videojuegos o software premium. Los visitantes acceden a estos portales buscando enlaces de descarga, y al hacer clic en ellos, son redirigidos a través de una cadena de sitios intermedios cargados con anuncios fraudulentos.

Estos sitios intermediarios están impulsados por los plugins de WordPress de Scallywag, que gestionan el proceso completo de redirección, desde la verificación CAPTCHA hasta temporizadores obligatorios que simulan interacción del usuario. En muchas ocasiones, las páginas intermedias muestran un blog limpio si detectan escaneos automatizados o bots de plataformas publicitarias, en un proceso conocido como encubrimiento.

Este enfoque permite que el contenido malicioso pase desapercibido para los anunciantes legítimos, quienes normalmente bloquean la piratería y los acortadores de URL por los riesgos legales, el fraude publicitario y la seguridad de marca.

Asociación gris con sitios piratas

Cabe destacar que no todos los sitios piratas involucrados en esta red son operados directamente por los creadores de Scallywag. En muchos casos, los administradores de estos sitios forman "asociaciones grises" con los operadores del fraude, cediendo el control de la monetización a cambio de recibir ingresos compartidos.

Este modelo colaborativo ha permitido a Scallywag extender su influencia rápidamente, aprovechando el tráfico masivo que generan los sitios piratas sin asumir directamente su operación ni exposición legal.

La caída de Scallywag: análisis, detección y respuesta

El equipo de HUMAN logró identificar la actividad de Scallywag tras detectar comportamientos inusuales en blogs de WordPress aparentemente legítimos, como picos de impresiones publicitarias, mecanismos de encubrimiento y flujos de tráfico forzado. Utilizando técnicas avanzadas de análisis de tráfico, HUMAN clasificó la red como fraudulenta y colaboró con proveedores de anuncios digitales para bloquear sus solicitudes de oferta.

Gracias a estas acciones, el tráfico fraudulento de Scallywag se redujo en un 95%, provocando una caída masiva en los ingresos generados por la red. Muchos de los actores involucrados abandonaron el esquema y comenzaron a buscar nuevas formas de monetización ilícita.

Persistencia de la amenaza y evolución de los actores

A pesar de la desactivación temporal de su ecosistema, los operadores detrás de Scallywag han demostrado una gran capacidad de adaptación. En respuesta a los bloqueos, intentaron evadir la detección utilizando nuevos dominios, redes de redirección abiertas y técnicas para ocultar el referer real del tráfico.

Si bien HUMAN logró identificar y bloquear estos nuevos intentos, se espera que los responsables continúen desarrollando nuevas variantes o incluso trasladen su operación a otras plataformas CMS o métodos de monetización engañosos.

Recomendaciones para protegerse del fraude publicitario

Las empresas del ecosistema publicitario digital, así como administradores de sitios web, deben tomar medidas preventivas para evitar verse involucrados, directa o indirectamente, en esquemas de fraude como Scallywag:

• Auditar regularmente los complementos de WordPress instalados, evitando extensiones de origen dudoso o poco documentado.
• Monitorear el tráfico de red en busca de patrones sospechosos, como tasas de impresión anómalas o visitas desde acortadores de URL poco conocidos.
• Colaborar con plataformas de detección de fraude como HUMAN para implementar soluciones antifraude avanzadas.
• Evitar monetizar sitios con contenido pirata, ya que estos son objetivos prioritarios para esquemas publicitarios fraudulentos.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta