A la hora de conseguir sacar dinero de donde no lo hay, los ciberdelincuentes usan una barbaridad de técnicas diferentes para conseguir un beneficio económico. Por ejemplo, hay en marcha una campaña de malware que redirige a sitios web fraudulentos para acumular clics y sacar tajada de Google Ads a nuestra costa.
Lo que empezó como algo aislado no deja de reproducirse y ya son casi 11.000 las páginas webs que han sido infectadas con este nuevo código de redireccionamiento, generalmente aquellas generadas vía WordPress.
Casi 11.000 páginas web maliciosas
La firma de ciberseguridad Sucuri es quien informa de esta campaña de malware dirigida a miles de sitios web de WordPress para redirigir a los visitantes a sitios web de preguntas y respuestas fraudulentos. Los sitios en sí contenían muy poca información útil para un visitante esporádico, pero, lo que es más importante, también contenían anuncios de Google Adsense, por lo que parece que se trata de un intento de inflar artificialmente visitas de anuncios para generar ingresos.
Desde el pasado mes septiembre el escáner remoto SiteCheck de Sucuri ha detectado esta campaña en 10.890 sitios infectados. La actividad se ha intensificado recientemente con nuevos dominios maliciosos escondidos detrás de acortadores de URL. Concretamente, en lo poco que llevamos de 2023 se han detectado más de 2.600 sitios web fraudulentos.
Por ahora, el objetivo completo de la campaña parece ser generar tráfico de aspecto orgánico a sitios web que contienen anuncios de Google Adsense, pero como ya advirtieron desde Sucuri “en este punto, no hemos notado un comportamiento malicioso en estas páginas de destino. Sin embargo, en cualquier momento dado, los operadores del sitio pueden agregar arbitrariamente malware o comenzar a redirigir el tráfico a otros sitios web de terceros”.
Invisibles a las herramientas de protección
Para hacer que las visitas evadan la detección de las herramientas de seguridad de la red y parezcan orgánicas, es decir, que provengan de personas reales que ven las páginas voluntariamente, las redirecciones se producen a través de búsquedas de Google y Bing.
Los destinos finales son en su mayoría sitios de preguntas y respuestas que realizan encuestas sobre Bitcoin u otras criptomonedas. Una vez que un navegador redirigido visita uno de los sitios, los delincuentes han tenido éxito.
«Esencialmente, los propietarios de sitios web colocan anuncios aprobados por Google en sus sitios web y se les paga por la cantidad de visitas y clics que obtienen. No importa de dónde provengan esas vistas o clics, siempre y cuando les dé la impresión a aquellos que pagan para que se vean sus anuncios de que, de hecho, los están viendo.
Por supuesto, la naturaleza de baja calidad de los sitios web asociados con esta infección generaría básicamente cero tráfico orgánico, por lo que la única forma en que pueden inflar tráfico es a través de medios maliciosos.
En otras palabras: los redireccionamientos no deseados a través de URL cortas falsas a sitios de preguntas y respuestas falsos dan como resultado vistas/clics de anuncios inflados y, por lo tanto, ingresos inflados para quien esté detrás de esta campaña. Es una campaña muy grande y continua de fraude organizado de ingresos por publicidad.
De acuerdo con la documentación de Google AdSense, este comportamiento no es aceptable y los editores no deben colocar anuncios publicados por Google en páginas que violen las políticas de spam para la búsqueda web de Google».