Betrüger nutzten den Verkehr von einer nicht jugendfreien Website, um Klicks auf Google-Banneranzeigen zu generieren, was ihnen riesige Gewinne einbrachte, enthüllten Experten.
Malwarebytes-Forscher, die als erste die Kampagne entdeckten, enthüllten, wie jemand eine Werbekampagne in einem großen Werbenetzwerk für Erwachsene erstellte und das „Popunder“-Anzeigenformat verwendete.
Es ist im Grunde ein Popup-Fenster, aber es geht unter das aktive Browserfenster. Auf diese Weise können die angezeigten Anzeigen erst gesehen werden, nachdem der Benutzer den Browser schließt oder minimiert.
„Saubere“ Anzeigen auf Websites für Erwachsene
Anschließend erstellten sie eine Fake-News-Website mit Inhalten, die von anderen Inhaltsseiten übernommen wurden. Die auf dieser Website veröffentlichten Artikel umfassen verschiedene Tutorials, Anleitungen und mehr. Da die Website „sauber“ war (keine Inhalte für Erwachsene, Glücksspiele oder ähnliches), konnte sie Anzeigen aus dem Google Ads-Netzwerk schalten.
Dann überlagerten sie die Seite mit einem Iframe, der Inhalte von der Erwachsenenseite TXXX anzeigte.
Mit anderen Worten, wenn ein Besucher einer Website für Erwachsene seinen Browser schließt, sieht er ein Popup-Werbe-TXXX, das angesichts des Kontexts auch legitim aussieht. Wenn der Besucher jedoch versucht, auf eines der Videos zu klicken, klickt er tatsächlich auf die Anzeige und verdient Geld für die Betrüger. Letztendlich klicken Besucher von Websites für Erwachsene auf Anzeigen aus dem Google Ads-Netzwerk, was gegen die Werberichtlinie von Google verstößt, die alle Inhalte für Erwachsene verbietet.
Selbst wenn sie nicht auf die Anzeige klicken, generiert die bloße Tatsache, dass sie geladen wird, Einnahmen für Betrüger, da Werbenetzwerke auch für Anzeigenimpressionen bezahlen. Aus diesem Grund werden die Fake-News-Site und die darin enthaltenen Anzeigen alle neun Sekunden aktualisiert.
Laut Malwarebytes sind Popunder ziemlich profitabel, da die durchschnittlichen Kosten pro tausend Impressionen (CMP) bis zu 0.05 € betragen können und da der Verkehr auf Websites für Erwachsene massiv ist, gelang es dem Bedrohungsakteur hinter dem Schema, einen großen Gewinn zu erzielen .
Nach Schätzungen von Malwarebytes generierte die inzwischen beendete Kampagne 76 Millionen Anzeigenimpressionen pro Monat, was bei einem TKP von 3,50 US-Dollar Einnahmen von bis zu 276.000 US-Dollar pro Monat bringt.
Die Identität des bedrohlichen Schauspielers ist unbekannt, aber es scheint sich um einen Russen zu handeln.
Über: BleepingComputer (Öffnet in einem neuen Tab)