セキュリティ研究者は、数百のドメインにわたり週あたり数十億件の広告リクエストを呼び込む能力を持つ、新たな広告詐欺ネットワークを発見した。
Scallywagは、広告を通じて違法コンテンツを収益化したい脅威アクターの参入障壁を下げるために設計された、4つのWordPressモジュールの集合体である。
セキュリティベンダーHumanの研究者は、「Scallywagは、脅威アクターがインストールするWordPress拡張機能の集合で、海賊版カタログサイトやURL短縮サービスサイトからユーザーを、脅威アクターが大量の広告を配置する1つ以上の中継キャッシュアウトサイトを経由させ、最終的に約束された海賊版コンテンツまたは短縮URLへ誘導する」と説明した。
キャッシュアウトサイト自体は、ユーザーの進行を遅らせ、ページがリクエストおよび表示できる広告数を最大化するために、いくつかの手口を用いる。これには、対象のコンテンツに到達するためにクリックが必要なボタン、解く必要のあるCAPTCHA、ユーザーが先へ進めるまでの固定の待機時間、先へ進む前にページ全体をスクロールすることの強制、そしてまず中継ページを移動する必要性などが含まれる。
Humanは「これらのキャッシュアウトサイトは、クロークされている場合、元の海賊版/URL短縮ドメインとの明確な関係が見えない、一見無害なブログの形を取ることが多い」と述べた。
広告詐欺についてさらに読む:広告詐欺スキーム、1日あたり120億件の入札リクエストを突破
Scallywagのキャッシュアウトサイトの大半は、「ディープリンク」と呼ばれるプロセスを使ってコンテンツのデクロークを行う。
Humanは「カタログページ上のリンクには、Webフォームのあるページへのディープリンクが含まれており、そのWebフォームが自動的に送信され、ユーザーを目的のページのデクローク版へリダイレクトする」と説明した。
「そのWebフォームの完了により、サイトはユーザーに無害版ではなくデクローク版を提供すべきだと判断する。」
このキャンペーンに関連する4つのWordPress拡張機能のうち1つは、2016年までさかのぼる。以下のとおりである:
- Soralink
- Yu Idea
- WPSafeLink
- Droplink
4つの拡張機能のうち、Soralink、WPSafeLink、Yu Ideaの3つは開発者によって個々の脅威アクターに販売されている一方、Droplinkは独自のScallywag経路の背後で無料で提供されている。
Humanは詐欺師たちとのモグラ叩きのような状況に固定されているようだ。Scallywagに関連するトラフィックは、1日あたり14億件の入札リクエストというピークから95%減少したものの、4月上旬には新たなキャッシュアウトサイトが立ち上げられ、ほどなくして訪問者を集め始めた。
翻訳元: https://www.infosecurity-magazine.com/news/scalllywag-ad-fraud-networ-14/
