找出恶意垃圾邮件插件的幕后“真凶”首席安全官频道

在不久之前,首席安全官频道我们曾发布过一篇关于“WordPress第三方工具栏插件Display Widgets包含后门,并在WP站点任意发布垃圾信息”的文章。而在本文中,我们将对该恶意插件进一步的探索分析,并最终溯源其幕后人物。

为了获取更准确和有价值的信息,我与该插件的原作者Stephanie Wells取得了联系。我们在Skype上进行了一次愉快的对话,她非常关注我们的相关报道,并试图向我们澄清所发生的一切。同时,Stephanie也表示愿意向我们提供相关数据以及必要的协助。在经得Stephanie同意后,我们将他们交易的细节分享到了WordPress社区和我们的网站。Stephanie的表态让我感到兴奋,因为这意味着我们有机会找出该恶意插件的幕后“真凶”。

Steph证实,他们已经以1.5万美元的价格将Display Widgets插件卖给了一个名为“Mason Soiza”的人。Steph通过他们的网络联系方式找到了他们原始的对话邮件,具体内容如下:

–Begin email–

我们想从你那里购买这个插件,并获得插件的所有权,这样可以减轻你的开发压力。

我们正尝试建立一个最大的wordpress插件公司,在建立之前,我们需要购买一些大型的插件,就像你的这款。

我想知道我和我的团队是否能够从你那里购买到这款插件,并对它进行完全的开发管理,推出一个更新的版本,使它能够更好地支持wordpress。

我们还将把我们的管理团队放到支持论坛上,并确保用户的使用体验,如果有任何其他需求,我们将把它们添加到下一次的更新当中。

我们现在拥有和管理的插件,目前已经超过34个。

–End email–

在谈判阶段的4月24号,他们还收到了另一封来自Soiza的邮件:

–Begin email–

我们每个帐户都有一个插件,因为WordPress不喜欢人们出售或购买插件,这样做能对我们起到一定的保护作用。

我可以举出几个来:

https://wordpress.org/plugins/wp-slimstat/ <– managed by Dino

https://wordpress.org/plugins/finance-calculator-with-application-form/ < -这款插件是两天前买的,我们后续会对它进一步的改进设计

https://en-gb.wordpress.org/plugins/404-to-301/ < -这是几周前购买的,在过去它曾有些负面新闻,所以我们决定修复并改进它

我们还有许多其他的插件,而这些都是最近的。

当将它们作为销售策略使用,将非常有助于我们的网络业务,世界范围内的3000万站点将呈现我们的代码。虽然听起来有些可笑,但这在我们的行业中是非常有意义的。

–End email–

注意,我用红色标注了的“404 to 301”插件。后面我们还会对它做进一步的探讨。

由于这个插件不再是Steph和她丈夫生意的核心部分,所以他们最终决定卖掉它。

Paypal的交易显示,2017年5月19日“Mason Soiza(pp@linkrocket.net)支付了15,000.00美元的付款

Steph收到的合同是由Mason Soiza签署的。

6月21日,新作者发布了Display Widgets的第一次更新版本。然后在6月30日新作者的第二次版本更新v2.6.1发布,这其中就包含了本文开头提到的恶意代码。这段代码允许插件作者——Soiza——在目标网站上发布任意和删除任意内容,包括各种广告信息等等。据统计,当时有20万个站点使用了Display Widgets插件。

Calvin Ngan是第一报告Display Widgets中包含恶意代码活动的人,被报告的是关于Payday Loans(发薪日贷款)垃圾广告的活动。

Mason Soiza是谁?

Stephanie收到的合同是由Mason Soiza签署的。联系人的公司名称为:

Soiza Limited of Jubilee Cottage,位于英国诺丁汉市,NG122LD。

具体如下所示:

soiza-limited.png

soiza-limited.png

地址与签署合同上的地址和公司名称完全匹配。Mason Reece Soiza 2016年12月6日被任命为为公司董事会成员,出生于1994年3月(23岁),英国公民,他的职业被列为计算机程序员。

soiza-limited-officers.png

soiza-limited-officers.png

Soiza当时用来交易的邮箱地址为pp@linkrocket.net。如果我们访问网站linkrocket.net,我们仅能看到一个网站的logo图标页面,并没有提供其他任何信息。但是,如果我们通过存档网站查看其从2014年5月起的版本,我们就可以在logo页面发现三个邮箱地址,由此我们得到了Mason Soiza的真实的电子邮件地址mason@linkrocket.net

linkrocket-dot-net-2014.png

linkrocket-dot-net-2014.png

使用电子邮件搜索引擎Pipl搜索mason@linkrocket.net,我们获取到了一长串关于Mason Soiza的社会背景信息。

包括在诺丁汉Mason Soiza的LinkedIn个人资料。这些信息现已被他删除,我们看到的是一个快照页面。

soiza-linked-in.png

soiza-linked-in.png

soiza的LinkedIn的个人资料显示,自2014年至今他一直担任Payday Loans的CEO。

soiza-payday-loans-now.png

soiza-payday-loans-now.png

我们访问这个网址,打开页面的左上角显示信息如下:

pay-top-left.png

pay-top-left.png

页面的页脚信息如下:

pay-footer.png

pay-footer.png

从页面底部我们大致可以获取到以下信息:

    Paydayloansnow.co.uk被证实属于soiza互联网营销有限公司(SIML)。

    SIML在英国登记的金融服务编号为748266

    Quint集团有限公司登记的金融服务参考编号为669450

    SIML的公司编号为09861376

通过FCA(英国金管局)的金融服务注册查询功能,我们查询了SIML的参考编号,并获取到如下信息:

soiza-FSR-entry.png

soiza-FSR-entry.png

在FCA我们同样发现了mason@inkrocket.net这个邮件地址。但实际上inkrocket.net这个域并不存在,真正的完整域名应该是(l)inkrocket.net。

soiza代表谁?

根据英国金融管理局的数据,“soiza互联网营销有限公司”授权为Quint集团有限公司介绍客户。Quint提供金融服务,由Soiza进行推销。

soiza同时还经营着,同样也是转售Quint的金融产品。

我打电话给Quint在英国的合规总监Graham McGifford。他告诉我,Quint有自己的的标准,代表们都需要遵循我们的相关标准,必要时他们会采取相应的行动。

Quint证实,Mason Soiza是其一个授权的代表,或“介绍人”FCA网站称。

Graham要求我发送更多相关信息给他,以便他们更好的调查此事。我们将转发这篇博文给他。

Mason Soiza与404 to 301插件垃圾广告的联系

在之前有关Soiza发送给Steph的谈判电子邮件中,他提到了购买了404 to 301插件:

https://en-gb.wordpress.org/plugins/404-to-301/ < -这是几周前购买的,在过去它曾有些负面新闻,所以我们决定修复并改进它

在去年的八月份,我们发布了一篇题为“404-to-301插件存在损害用户利益行为”的文章。这是一个有争议的作品,后续我们还发布了一篇题为“我们将永远把客户和社区放在第一位”的文章。

在随访中,我们提到出现在英国特别是学校网站的垃圾广告均来自404 to 301插件,例如cityofescorts.co.uk一个专门提供escort服务(主要是指性交易服务)的网站广告就被呈现在了学校网站上。以下是获取404 301插件垃圾广告内容的代码:

city1.png

city1.png

这是一张做过模糊处理的截图:

escorts1.jpg

escorts1.jpg

通过对cityofescorts.co.uk这个网址的WHOIS查询,你会发现该域名的所有者是Mason Soiza。

city-of-escorts-whois.png

city-of-escorts-whois.png

wpcdn.io服务器被404 to 301用于垃圾内容分发,直到今天依旧处于正常运行的状态。我们访问了wpcdn.io,页面为我们提供了paydayloansnow.co.uk这个网址,在之前我们已经证实这是soiza的另一个网站。

paydayloans-api.png

paydayloans-api.png

soiza声称他购买了404 to 301这个插件。我尝试与该插件的作者Joel James取得联系,看看这是不是真的。可惜最终我没能联系上他。

去年8月份,Joel James曾在博客中写道:

joel-james-comment.png

joel-james-comment.png

我们想要获取到更多的细节信息,如果Joel能看到这篇文章并在评论中给予我们帮助,我们将非常感谢!

soiza还购买了其他什么插件?

在他的电子邮件给Steph,Soiza提到的其他两个插件。对每个箭头的票据权利是他的:

In his email to Steph, Soiza mentions two other plugins. The notes to the right of each arrow are his:

https://wordpress.org/plugins/wp-slimstat/ <– managed by Dino

https://wordpress.org/plugins/finance-calculator-with-application-form/ < -这款插件是两天前买的,我们后续会对它进一步的改进设计

我没能与”WP slimstat”的作者联系上。

幸运的是我与“金融计算器”插件的作者Ciprian Popescu取得了联系。Ciprian与我分享了相关细节信息。

Ciprian说:soiza是在今年年初与他接触的,当时他使用的是化名“Kevin Danna”并向我表达了购买插件的意愿。

Soiza最终以600美元的价格购买了金融计算器。在与 Ciprian的沟通过程中,Mason Soiza似乎犯了一个低级的错误,他竟将‘Mason’留在了化名邮件内容的最后。以下是Ciprian分享给我的截图:

soiza-as-kevin-danna.png

soiza-as-kevin-danna.png

soiza也在WordPress论坛上使用过化名Kevin Danna。

Ciprian告诉我,由于某些原因,Soiza在购买插件后从未更新过插件。在了解了Display Widgets的情况后,他已收回金融计算器插件的控制权,并撤销了Soiza的访问权限。

我与Soiza的对话

现在我们有确凿的证据证明,soiza使用化名“Kevin Danna”的电子邮件地址与人沟通。我们也知道Display Widgets插件的新所有者,在WordPress论坛上也使用了这个地址。

我通过电子邮件与“Kevin Danna”取得了联系。我询问了关于在他们网站wpdevs.co.uk提到的34款插件的情况。以及Display Widgets中的恶意代码,是否是他有意为之。以下是我收到的署名为“Kevin”的电子邮件回信:

Hi Mark,

我的故事,你可能不知道。几个月前我被诊断出得了肺癌,我的生命只剩下短暂的几个月/只有一年不到的时间。所以我将所有的插件都售卖给了其他人。

Display Widgets插件被卖给了一家在加利福尼亚的公司,他们让我签署了一份保密协议。这是我卖给这家公司的唯一插件。他声称“Drupal插件很多,这是他的第一个WordPress插件。我花了15000美元买这个插件,但卖了20000美元。他们告诉我他们正在用它在工具栏上做广告,我想你可以用它来搜索它们。

关于那34个插件,那是我职业生涯的顶峰。在购买这些插件后,我会用夸大的广告宣传标语例如“有超过100000 +网站使用”等字眼来提高他们的价格并出售它们。

最后,我对我所造成的不便深表歉意。祝你好运!

Thanks

Kevin D

我们知道,soiza从Steph那买了Display Widgets插件以及从Ciprian那购买了金融计算器插件。我们知道,Soiza利用化名Kevin Danna的电子邮件地址与人通讯交流。我们也知道Mason Soiza使用自己的域名,通过“404 to 301”插件滥发广告信息。我们还知道,Steph以15000美元的价格将插件卖给了Mason Soiza,以及wpdevs.co.uk网站是今年四月才刚注册的。所以这并不是一个他所谓的老业务,从soizade公开的Facebook个人资料来看,也并不像其所说的那样身患绝症!

环环相扣

通过在Whoisology上对soiza的电子邮件地址搜索后,我们获取到了他所拥有的以下域名:

    onlineblackjackexpert.net(Active二十一点网站)

    0xd0d78w2.info(被谷歌列为服务恶意软件。如下所示)

当打开0xd0d78w2.info页面会看到一个警告弹框,声称你的电脑被感染,并试图让你拨打“微软”的支持热线。它看起来像这样(Archive.org提供):

malware-domain.png

malware-domain.png

蓬勃发展期

soiza似乎正享受着高品质的生活。在他公开的脸谱网简介中,他提到今年5月参加了摩纳哥大奖赛。

soiza-monaco.png

soiza-monaco.png

四月份,他曾发布了一条带位置的消息,显示他在纽约的一家鸡尾酒店Dead Rabbit消费(一杯鸡尾酒的价格为16美元)。

soiza-dead-rabbit.png

soiza-dead-rabbit.png

去年一个名为“Mason Reece Soiza”的用户曾在rate-drive-co.uk网站发布了一张法拉利 458 Italia豪车的照片,车牌号为“MA52 SON”。

soiza-ferrari.png

soiza-ferrari.png

由此可见Soiza的生意做得相当的成功。

结语

从网上收集的公开资源来看,Mason Soiza对广泛的网上业务有兴趣,包括发薪日贷款、赌博和‘escort’服务等。

他也经常活跃于一些黑帽论坛,并遭到了”Black Hat World” (用户名 LinkRocket) 和WickedFire.com (用户名 MasonSoiza)论坛的封杀。

此外,我们也证实了soiza购买金融计算器插件和Display Widgets插件,并在Display Widgets插件添加后门,允许自己在目标站点任意发布删除内容,以及访问目标站点。

最后,如果你发现你所使用插件的作者是“Kevin Danna” 或 “Mason Soiza”建议你立即删除该插件。

*参考来源:wordfence,FB小编 secist 编译,转载请注明来自FreeBuf.COM

2017-09-23 18:55 阅读:534