Хакеры внедрили мошеннические плагины на сотни сайтов WordPress

Исследователи зафиксировали работу крупной схемы, которая использовала плагины WordPress для подделки рекламных запросов. Суть в том, что трафик с пиратских и укороченных ссылок направлялся на страницы, где автоматически крутились рекламные объявления. В пиковые дни система выдавала до 1,4 миллиарда поддельных запросов.

Вся сеть, которую позже назвали Scallywag, была построена на четырех плагинах. Они появились с 2016 по 2022 год. Сами инструменты свободно распространялись — их покупали разные группы, а один из них вообще распространялся бесплатно, если выполнить нужные действия для владельцев. Использование плагинов объясняется просто: они делали из обычного WordPress-сайта площадку для манипуляции рекламой.

Пользователь заходил на сайт с пиратским контентом — например, фильмами или взломанным ПО. Сжатая ссылка вела на промежуточную страницу, где нужно было пройти проверку или подождать несколько секунд. В этот момент загружались рекламные блоки, и шли поддельные запросы. По сути, страницы имитировали нормальные сайты, но работали на заработок от рекламы, которую никто не просматривал.

Когда специалисты начали отслеживать аномалии в трафике и выявили источники, рекламные сети перестали показывать объявления таким площадкам. Поток денег прекратился, а активность Scallywag почти полностью сошла на нет. Некоторые участники схемы просто ушли, другие начали искать новые способы обмана.