The Man Behind Plugin Spam: Mason Soiza

September 19, 2017

Entri ini telah diposting di Keselamatan Umum WordPress Security pada 13 September 2017 oleh [19459007″MarkhamMaunder 135 Replies

Ini adalah tindak lanjut kepada kisah kami yang bertajuk” Plugin Widget Paparan Termasuk Kod Berbahaya untuk Menerbitkan Spam di Laman WP “. Dalam siaran ini, kami meneroka siapa yang berada di belakang pembelian dan rasuah plugin Widget Paparan dan sekurang-kurangnya dua plugin WordPress lain yang popular.

Sebagai sebahagian daripada penyelidikan saya terhadap penjualan plugin Widget Paparan dan spam yang muncul di dalamnya, saya telah menjangkau Stephanie Wells, penulis asal Widget Paparan yang menjualnya. Stephanie kembali kepada saya beberapa saat selepas saya memukul butang menerbitkan pada post kami.

Kami telah bersembang di Skype dan dia amat prihatin, berguna dan akan datang dengan data untuk mencuba dan membersihkan apa sebenarnya yang berlaku di sini. Steph telah bersetuju untuk membiarkan saya berkongsi butiran urus niaga mereka dengan komuniti WordPress.

Saya sangat teruja kerana ini membolehkan kami untuk mengikuti wang dalam siasatan kami terhadap siapa yang berada di belakang spam dalam Widget Paparan. Sedikitnya saya tahu bahawa ini akan membawa kepada dua plugin lain dan memberi penjelasan mengenai cerita yang kita tulis mengenai tahun lepas.

Mengikuti Wang

Steph mengesahkan bahawa mereka telah menjual plugin Widget Paparan kepada “Mason Soiza” dengan harga $ 15,000. Dia telah menghampirinya melalui borang hubungan web mereka. Inilah e-mel asal yang mereka terima, lengkap dengan kesilapan ejaan:

-Begin email-

Kami ingin membeli plugin ini daripada anda dan mengambil kapal pemilik lengkap dan mengambil tekanan dari anda.

Kami cuba membina salah satu syarikat plugin wordpress yang terbesar dan dalam melakukan ini kami cuba membeli beberapa plugin yang agak besar seperti milik anda.

Saya tertanya-tanya jika saya dan pasukan saya dapat membeli plugin ini daripada anda dan kemudian mengambil alih perkembangan lengkap dan menolak kemas kini baru untuk menjadikannya lebih baik dengan wordpress terkini ]

Kami juga akan meletakkan pasukan pentadbir kami ke forum sokongan dan memastikan pengguna gembira dan jika ada ciri-ciri yang mereka secara khusus meminta kami akan menambahkan mereka ke kemas kini seterusnya.

Kami mempunyai lebih daripada 34 Plugins yang kita miliki sekarang dan menguruskan.

E-mel-

Semasa rundingan mereka mereka menerima e-mel dari Soiza pada 24 April yang membaca:

-Begin email-

Kami mempunyai 1 plugin setiap akaun sebagai WordPress tidak menyukai hakikat bahawa orang menjual atau membeli plugin jadi ini melindungi kita sebagai pembeli dari salah seorang pemilik terdahulu dari “mengomel” dan kemudian menimpa semua yang lain plugin.

Saya boleh menamakan beberapa tetapi:

https://wordpress.org/plugins/wp-slimstat/ <- dikelola oleh Dino
https://wordpress.org / plugins / finance-calculator-with-application-form / <- dibeli 2 hari yang lalu kerana kami mempunyai konsep yang hebat mengenai perkembangan ini dan benar-benar mahu nama “Kalkulator Kewangan” masih memerlukan pereka untuk melompat. ] https://en-gb.wordpress.org/plugins/404-to-301/ <- membeli ini beberapa minggu kembali masih dalam proses untuk memindahkan, mereka telah mempunyai akhbar buruk pada masa lalu jadi kami mahu memperbaikinya dan juga memperbaiki versi semasa dari segi “auto 404 fix”.

Kami mempunyai banyak orang lain tetapi ini adalah yang terbaru

Menjadi jujur ​​kejam,

Ia membantu dengan perniagaan web kami yang cukup besar dalam industri kasino, apabila kita boleh menggunakannya sebagai taktik jualan “Kod kami digunakan di lebih daripada 30 juta laman web” di seluruh dunia dan sebagainya. Bunyi bodoh tetapi ia berjalan bersama cara dalam industri kami, terutamanya kerana kami perlu membuktikan kenyataan kami oleh undang-undang.

E-mel-

Perhatikan saya telah menandakan pemalam “404 hingga 301″ berwarna merah. Kami akan kembali kepada itu.

Plugin itu bukan lagi bahagian inti dari Steph dan perniagaan suaminya, jadi mereka memutuskan untuk menjualnya.

Transaksi paypal dari 19 Mei, 2017 untuk membeli Widget Paparan berbunyi: ” Mason Soiza ([email protected]) membuat pembayaran $ 15,000.00 USD ”

Kontrak yang diterima oleh Steph ditandatangani oleh Mason Soiza.

Pada 21 Jun pembebasan pertama Widget Paparan di bawah pengarang baru telah dikeluarkan. Kemudian pada 30 Jun terdapat pelepasan kedua, versi 2.6.1, yang termasuk kod jahat yang kita capai dalam bahagian 1 siri jawatan ini. Untuk mengingatkan anda, kod ini membenarkan pengarang plugin baru – Soiza, dalam hal ini – untuk menerbitkan kandungan spam di mana-mana tapak yang menjalankan Widget Paparkan. Terdapat kira-kira 200,000 tapak menggunakan Widget Paparan pada masa itu.

Tiket Trac yang Calvin Ngan dibuka 7 minggu yang lalu, yang merupakan laporan pertama mengenai kod jahat dan aktiviti dalam Widget Paparan, melaporkan spam Payday Loan . Ini adalah fakta penting, seperti yang anda lihat di bawah.

Siapa Mason Soiza?

Kontrak yang diterima oleh Stephanie ditandatangani oleh Mason Soiza. Nama syarikat yang digunakan pada kenalan adalah:

Soiza Limited dari Jubilee Cottage, Nottingham, England, NG122LD.

House Companies in the UK menunjukkan Soiza Limited sebagai :

Alamat adalah padanan lengkap ke alamat dan nama syarikat yang disediakan pada invois. Syarikat itu mempunyai seorang pegawai korporat, Mason Reece Soiza dilahirkan pada bulan Mac 1994 (umur 23 tahun), warganegara Inggeris, dilantik ke papan pada 6 Disember 2016. Pendudukannya disenaraikan sebagai Programmer Komputer

E-mel yang digunakan Soiza dalam transaksi adalah [email protected] . Jika kita melawat laman web linkrocket.net, ia tidak menyediakan banyak selain daripada logo. Walau bagaimanapun, jika kita melihat versi yang diarkibkan dari dari Mei 2014 tiga e-mel muncul di laman utama, dan kami mendapat alamat e-mel sebenar Mason Soiza, iaitu [email protected] .

Menggunakan mesin carian e-mel yang dipanggil Pipl, kami mencari [email protected] dan mendapati senarai panjang profil sosial

Included adalah profil LinkedIn untuk Mason Soiza di Nottingham. Gambar profil kini telah dialihkan dari halaman profil LinkedInnya tetapi ini adalah penangkapan skrin.

Profil LinkedIn Soiza menyenaraikannya sebagai Ketua Pegawai Eksekutif “Payday Loans Now” sejak tahun 2014.

Jika kami lawati www.paydayloansnow.co.uk, kami dapati di sebelah kiri atas halaman berikut:

Footer halaman kelihatan seperti ini:

Data berkaitan dalam footer ini ialah:

  • Paydayloansnow.co.uk disahkan milik Soiza Internet Marketers Limited (SIML).
  • SIML adalah “wakil yang dilantik pengenalan” Quint Group Limited.
  • SIML dimasukkan ke dalam Daftar Perkhidmatan Kewangan di UK di bawah nombor rujukan 748266
  • Quint Group Limited telah dimasukkan ke dalam Daftar Perkhidmatan Kewangan di bawah nombor rujukan 669450
  • Nombor syarikat SIML adalah 09861376

Mari pergi ke Daftar Perkhidmatan Kewangan dan mencari nombor rujukan SIML . Kami dapati ia disenaraikan seperti berikut. Anda boleh mengklik imej untuk versi yang lebih besar yang terbuka dalam tab baru.

Dan pada FCA kita dapati alamat e-mel [email protected] Ini mungkin menjadi kesilapan kerana domain ‘inkrocket.net’ tidak semestinya wujud. Domain sebenarnya mungkin (l) inkrocket.net.

Siapa Adakah Soiza Wakili?

Berdasarkan data dari Pihak Berkuasa Perundangan Kewangan UK, “Soiza Internet Marketers Limited” diberi kuasa untuk memperkenalkan pelanggan kepada Quint Group Limited. Quint menyediakan perkhidmatan kewangan yang dijual oleh Soiza.

Soiza juga mengendalikan www.unsecuredloans4u.co.uk yang juga menjual produk kewangan Quint

Saya menelefon Quint di UK dan meningkat kepada pengarah pematuhan mereka, Graham McGifford, yang sangat responsif. Dia memberitahu saya bahawa Quint mempunyai piawaian yang mereka perlukan wakilnya untuk mematuhi dan mereka akan mengambil tindakan jika diperlukan.

Quint mengesahkan bahawa Mason Soiza adalah wakil yang diberi kuasa, atau ‘pengantar,’ kerana laman web FCA menyebutnya.

Graham meminta agar saya menghantar lebih banyak maklumat supaya mereka dapat melihat perkara itu. Kami akan menghantar posting blog ini.

Menghubungkan Mason Soiza ke Spam Plugin 404 hingga 301

Anda akan ingat bahawa dalam e-mel Soiza sendiri kepada Steph (di atas) yang dia hantar pada bulan April tahun ini semasa merundingkan pembelian widget Widget Paparan, dia menyebut bahawa dia membeli plugin 404 hingga 301:

https://en-gb.wordpress.org/plugins/404-to-301/ <- membeli ini beberapa minggu lagi masih dalam proses pemindahan, mereka telah mempunyai akhbar buruk pada masa lalu sehingga kami ingin memperbaikinya dan juga memperbaiki versi semasa dari segi “auto 404 fix”.

Pada bulan Ogos 2016, kami menulis sebuah kisah bertajuk “ 404 hingga 301 Plugin Dianggap Memudaratkan “. Ini adalah bahagian yang kontroversial dan kami menyiarkan tindak lanjut berjudul “ Kami akan sentiasa meletakkan pelanggan dan komuniti kami dahulu “.

Dalam tindak lanjut, kami menyebutkan bahawa spam dari plugin 404 hingga 301 telah muncul di laman web sekolah di UK dan khususnya, perkhidmatan “pendamping” yang berpangkalan di UK yang dipanggil cityofescorts.co.uk telah muncul di sekolah laman web. Ini adalah kod yang mengambil kandungan spam untuk plugin 404 301:

Dan ini adalah tangkapan skrin yang disangkut yang kami masukkan ke dalam pos Ogos 2016 kami:

Jika anda melakukan pemeriksaan whois di cityofescorts.co.uk, anda mendapati pemiliknya adalah Mason Soiza.

Pelayan wpcdn.io yang digunakan untuk berkhidmat spam kepada plugin “404 hingga 301” masih berjalan dan berjalan hari ini. Dan jika anda melawat URL di wpcdn.io yang sedang digunakan untuk menyampaikan spam pada hari ini, ia berfungsi sehingga paydayloansnow.co.uk, yang telah kami tunjukkan adalah satu lagi laman web Soiza.

Soiza mengatakan dia membeli 404 hingga 301. Saya merujuk kepada pengarang plugin asli, Joel James, untuk melihat sama ada itu benar. Saya tidak dapat menghubungi beliau.

Kembali pada bulan Ogos tahun lepas, Joel James menulis di blog ini:

Adakah Joel James memberi akses masuk Soiza kepada kodanya? Saya benar-benar ingin mendengar lebih lanjut tentang apa yang berlaku. Soiza kini berkata dia membeli plugin itu, tetapi kita tidak tahu sama ada sebelum atau selepas [4049051] 404 hingga 301 kebangkitan terungkap . Joel jika anda boleh mengulas di sini untuk membantu kami memahami garis masa, itu akan sangat membantu.

Apa Mengenai Plugin Lain Soiza Dibeli?

Dalam e-melnya kepada Steph, Soiza menyebutkan dua plugin lain. Nota-nota di sebelah kanan setiap anak panah ialah:

https://wordpress.org/plugins/wp-slimstat/ <- dikendalikan oleh Dino
https://wordpress.org/plugins/finance-calculator-with- permohonan-borang / <- dibeli 2 hari yang lalu kerana kami mempunyai konsep yang hebat mengenai perkembangan ini dan benar-benar mahu nama “Kalkulator Kewangan” masih memerlukan pereka untuk melompat.

Saya tidak dapat berhubung dengan pengarang ‘WP Slimstat’.

Saya berjaya menyambung dengan Ciprian Popescu, pengarang jika plugin “Kalkulator Kewangan” yang Soiza berkata dia beli dan Ciprian cukup baik untuk berkongsi maklumat dengan saya.

Soiza menghubungi Ciprian awal tahun ini dan menggunakan alias “Kevin Danna”. Beliau menyatakan minat untuk membeli Kalkulator Kewangan.

Soiza kemudian membeli Kalkulator Kewangan untuk $ 600. Semasa berkomunikasi dengan Ciprian, Mason Soiza muncul untuk membuat kesilapan dan dia secara tidak sengaja menandatangani salah satu e-melnya dari alias Kevin Danna sebagai ‘Mason’. Ciprian berkongsi tangkapan skrin dengan saya:

Soiza juga kelihatan menggunakan alias Kevin Danna di forum WordPress .

Ciprian memberitahu saya bahawa atas sebab tertentu, Soiza tidak pernah mengemas kini plugin selepas dia membelinya. Selepas mempelajari tentang apa yang berlaku dengan Widget Paparkan, dia telah mengambil alih kawalan plugin [[KalkulatorKewangan membatalkan akses Soiza dan mengesahkan bahawa ia adalah perisian percuma malware. Saya menerima mesej ini daripada beliau:

Hi Mark,

Saya dapat mengesahkan bahawa plugin saya tidak diganggu. Saya telah menolak kemas kini untuk mengalih keluar pengirim ‘financecalculator’, iaitu Mason Soiza. Saya dalam proses mengemaskini lebih banyak perkara, seperti menulis semula beberapa kod untuk jejak yang lebih kecil; tetapi plugin berfungsi sepenuhnya dan malware percuma.

Komunikasi Saya Dengan Soiza

Kami kini mempunyai bukti kukuh, kesopanan Ciprian, bahawa Soiza menggunakan alamat e-mel “Kevin Danna” untuk berkomunikasi dengan orang ramai. Kami juga tahu bahawa pemilik baru plugin Widget Paparan menggunakan alamat itu di forum WordPress .

Saya telah berkomunikasi dengan “Kevin Danna” melalui e-mel semasa meneliti pos kami sebelum . Saya bertanya tentang “34 plugin” yang disebut di laman web wpdevs.co.uk yang mereka miliki. Saya juga ingin tahu sama ada kod jahat di Widget Paparan di sana dengan sengaja. Inilah jawapan yang saya terima dari “Kevin”. Saya menerbitkannya di dalam [] sebelum post dan meninggalkan beberapa perenggan pertama. Saya termasuk mereka kali ini untuk memberi anda perasaan siapa orang ini.

Hi Mark,

Hanya melihat e-mel ini WOW!

Sisi saya cerita ini, kerana anda mungkin tidak tahu. Saya mendapat didiagnosis dengan Kanser Paru beberapa bulan yang lalu, jadi hanya beberapa bulan / mungkin setahun yang tinggal di bumi ini. Jadi saya menjual semua plugin saya kepada ramai orang.

Widget Paparan widget telah dijual kepada syarikat di California yang membuat saya menandatangani NDA. Mungkin disebabkan sebab-sebab yang anda telah jelaskan. Ini adalah satu-satunya plugin yang saya jual kepada “lelaki” ini. Dia mendakwa mempunyai banyak plugin “drupal” dan ini adalah plugin wordpress yang pertama. Saya membeli plugin ini dengan harga $ 15,000 dan menjualnya dengan harga $ 20,000. Mereka memberitahu saya mereka menggunakannya untuk mengiklankan toolbar yang ada, yang saya rasa anda boleh gunakan untuk mencari mereka.

Mengenai 34 plugin dan pengiraan, itu berada di puncak kerjaya saya. Saya akan membeli plugin mereka untuk menamakan perniagaan “reka bentuk web” di / wp-admin / dan kemudian menjual perniagaan reka bentuk web bersama-sama dengan plugin dengan kata-kata seperti “Digunakan oleh lebih dari 100,000+ laman web” harga perniagaan oleh xyz dan kemudian saya hanya flip ia secepat saya boleh. WP Devs kini sebuah syarikat yang tidak berfungsi untuk alasan yang jelas.

Saya memohon maaf atas sebarang ketidakselesaan yang saya telah menyebabkan secara langsung. Saya berharap anda yang terbaik nasib!

Terima kasih

Kevin D

Kami tahu bahawa Soiza membeli plugin Widget Paparan daripada Steph dan membeli plugin Kalkulator Kewangan Ciprian. Kami tahu bahawa Soiza berkomunikasi menggunakan alamat e-mel Kevin Danna. Kami juga tahu bahawa Mason Soiza memiliki domain yang digunakan untuk spamming dalam plugin “404 hingga 301”. Kami juga tahu bahawa Steph menjual pluginnya sebanyak $ 15,000 kepada Mason Soiza. E-mel di atas sebenarnya adalah kali pertama saya telah mendengar nombor yang disebutkan. Kami juga tahu bahawa laman web wpdevs.co.uk hanya didaftarkan pada bulan April, jadi ia bukan perniagaan lama dari “puncak” kerjaya seseorang.

Oleh itu, saya akan pergi ke luar di sini dan mengatakan bahawa Kevin Danna sebenarnya adalah Mason Soiza dan berdasarkan profil Facebook Facebook Soiza, dia kelihatan sihat

Kepentingan Lain

Mengikut carian Whoisology menggunakan alamat e-mel Soiza, dia memiliki domain berikut:

  • onlineblackjackexpert.net (tapak blackjack aktif)
  • 0xd0d78w2.info (Disenaraikan dengan Google sebagai menyampaikan perisian hasad. Lihat di bawah)

Sebelum Google menyekatnya, domain 0xd0d78w2.info sedang melayani sebuah laman web yang mendakwa komputer anda dijangkiti dan cuba memanggil anda untuk memanggil talian sokongan “Microsoft”. Ia kelihatan seperti ini (ihsan Archive.org):

Perniagaan Baik

Soiza muncul untuk menjalani kehidupan yang tinggi. Pada profil Facebook beliau beliau menyiarkan bahawa beliau telah menghadiri Grand Prix Monaco pada bulan Mei tahun ini

Pada April dia berada di Arnab Mati di New York ( $ 16 koktel ).

Tahun lalu seseorang yang bernama “Mason Reece Soiza” menyiarkan gambar 2012 Ferrari 458 Italia mereka pada rate-drive-co.uk . Benang itu sedang membincangkan “pemandu idiot” yang memandu model Ferrari 458 Italia 2012 merah. Plat lesen adalah “MA52 SON”.

Perniagaan kelihatan berkembang pesat untuk Soiza.

Wrapping It Up

Pasukan kami telah mengumpulkan banyak data mengenai Mason Soiza daripada sumber awam. Beliau mempunyai minat dalam pelbagai perniagaan dalam talian yang termasuk pinjaman habis bulan, perjudian dan perkhidmatan ‘pendamping’, antara lain.

Dia aktif di forum topi hitam dan telah diharamkan dari “Black Hat World” (username LinkRocket ) dan dari WickedFire.com (username MasonSoiza ). Soiza adalah aktif pada Reddit sebagai IIRR dan menyederhanakan subreddit yang dipanggil /r/paydayloansnowcouk.

Pada ketika ini kami telah mengesahkan bahawa Soiza membeli plugin Kalkulator Kewangan dan widget Widget Paparan dan kami telah menubuhkan jejak kewangan. Beliau menambah pintu belakang kepada Widget Paparan Widget WordPress untuk membenarkan dirinya menerbitkan akses penerbitan tanpa had ke laman-laman yang menjalankan plugin.

Kami juga tahu bahawa Soiza terlibat dalam spam yang berasal dari plugin “404 hingga 301” yang dikatakannya dibeli, walaupun dalam hal ini penulis belum mengesahkan penjualan plugin tersebut. Laman web pengiring dan laman web pinjaman habis bulannya dibuang dari plugin “404 hingga 301”.

Jika anda dihubungi oleh “Kevin Danna” atau “Mason Soiza” dan merupakan pengarang plugin, kami menasihati anda untuk mengelakkan semua kenalan.

Seperti biasa saya mengalu-alukan maklum balas anda dalam komen.

Terima kasih dan Kredit

Terima kasih banyak kepada Steph Wells, penulis asal widget Widget Paparan yang menyediakan data kewangan awal yang kami perlukan untuk mengikuti wang itu. Juga terima kasih banyak kepada Ciprian Popescu, penulis plugin Kalkulator Kewangan, yang turut berkongsi data transaksi dengan saya dan tangkapan skrin yang mengesahkan Soiza menggunakan alias Kevin Danna. Kedua-dua penulis plugin bekerja dengan saya pada notis yang sangat singkat, jadi terima kasih !!

Juga terima kasih besar kepada pasukan kami yang menjatuhkan segala-galanya dan bekerja dengan cepat untuk membina profil Soiza. Saya telah menyebut nama mereka di blog sebelum ini, tetapi hanya kira-kira semua orang yang masuk dalam jawatan ini, jadi anda boleh memukul Mengenai halaman untuk melihat siapa mereka . Terima kasih kepada Matt Barry yang mengiktiraf sambungan antara Soiza dan plugin “404 hingga 301” semasa penyelidikan kami.

Bacaan WordPress Yang Lebih Menarik!

PimpMyWoo – Customize WooCommerce in style
Plugins,
Plugins,

PimpMyWoo – Customize WooCommerce in style

Pembuat Rojak - April 23, 2018

PimpMyWoo membantu anda menyesuaikan cara kedai WooCommerce anda kelihatan tanpa menulis satu baris kod atau mengubah suai sebarang templat !…

Bagaimana Menggunakan Portfolio Boleh Ditapis dan Navigasi Pos untuk Mengatur Kajian Kes dengan Divi
Elegant Themes,
1 views
Elegant Themes,
1 views

Bagaimana Menggunakan Portfolio Boleh Ditapis dan Navigasi Pos untuk Mengatur Kajian Kes dengan Divi

Pembuat Rojak - April 23, 2018

Kajian kes boleh menjadi alat pemasaran yang sangat berharga. Pengguna suka kajian kes yang baik kerana mereka suka cerita yang…

Quasar – WordPress Theme with Animation Builder
Themeforest,
2 views
Themeforest,
2 views

Quasar – WordPress Theme with Animation Builder

Pembuat Rojak - April 23, 2018

UPDATED Versi 2.9 - Wordpress 4.9 Siap, WooCommerce 3.2 Siap, Rock Form Builder 2.6 (19 Nov. 2017) Anda boleh melihat…

Leave a Comment

Your email address will not be published.