在不久之前，我们曾发布过一篇关于“WordPress第三方工具栏插件Display Widgets包含后门，并在WP站点任意发布垃圾信息”的文章。而在本文中，我们将对该恶意插件进一步的探索分析，并最终溯源其幕后人物。

为了获取更准确和有价值的信息，我与该插件的原作者Stephanie Wells取得了联系。我们在Skype上进行了一次愉快的对话，她非常关注我们的相关报道，并试图向我们澄清所发生的一切。同时，Stephanie也表示愿意向我们提供相关数据以及必要的协助。在经得Stephanie同意后，我们将他们交易的细节分享到了WordPress社区和我们的网站。Stephanie的表态让我感到兴奋，因为这意味着我们有机会找出该恶意插件的幕后“真凶”。

Steph证实，他们已经以1.5万美元的价格将Display Widgets插件卖给了一个名为“Mason Soiza”的人。Steph通过他们的网络联系方式找到了他们原始的对话邮件，具体内容如下：

–Begin email–

我们想从你那里购买这个插件，并获得插件的所有权，这样可以减轻你的开发压力。

我们正尝试建立一个最大的wordpress插件公司，在建立之前，我们需要购买一些大型的插件，就像你的这款。

我想知道我和我的团队是否能够从你那里购买到这款插件，并对它进行完全的开发管理，推出一个更新的版本，使它能够更好地支持wordpress。

我们还将把我们的管理团队放到支持论坛上，并确保用户的使用体验，如果有任何其他需求，我们将把它们添加到下一次的更新当中。

我们现在拥有和管理的插件，目前已经超过34个。

–End email–

在谈判阶段的4月24号，他们还收到了另一封来自Soiza的邮件：

–Begin email–

我们每个帐户都有一个插件，因为WordPress不喜欢人们出售或购买插件，这样做能对我们起到一定的保护作用。

我可以举出几个来:

https://wordpress.org/plugins/wp-slimstat/ <– managed by Dino

https://wordpress.org/plugins/finance-calculator-with-application-form/ < -这款插件是两天前买的，我们后续会对它进一步的改进设计

https://en-gb.wordpress.org/plugins/404-to-301/ < -这是几周前购买的，在过去它曾有些负面新闻，所以我们决定修复并改进它

我们还有许多其他的插件，而这些都是最近的。

当将它们作为销售策略使用，将非常有助于我们的网络业务，世界范围内的3000万站点将呈现我们的代码。虽然听起来有些可笑，但这在我们的行业中是非常有意义的。

–End email–

注意，我用红色标注了的“404 to 301”插件。后面我们还会对它做进一步的探讨。

由于这个插件不再是Steph和她丈夫生意的核心部分，所以他们最终决定卖掉它。

Paypal的交易显示，2017年5月19日“Mason Soiza(pp@linkrocket.net)支付了15,000.00美元的付款”

Steph收到的合同是由Mason Soiza签署的。

6月21日，新作者发布了Display Widgets的第一次更新版本。然后在6月30日新作者的第二次版本更新v2.6.1发布，这其中就包含了本文开头提到的恶意代码。这段代码允许插件作者——Soiza——在目标网站上发布任意和删除任意内容，包括各种广告信息等等。据统计，当时有20万个站点使用了Display Widgets插件。

Calvin Ngan是第一报告Display Widgets中包含恶意代码活动的人，被报告的是关于Payday Loans（发薪日贷款）垃圾广告的活动。

Mason Soiza是谁？

Stephanie收到的合同是由Mason Soiza签署的。联系人的公司名称为：

Soiza Limited of Jubilee Cottage，位于英国诺丁汉市，NG122LD。

具体如下所示：

地址与签署合同上的地址和公司名称完全匹配。Mason Reece Soiza?2016年12月6日被任命为为公司董事会成员，出生于1994年3月（23岁），英国公民，他的职业被列为计算机程序员。

Soiza当时用来交易的邮箱地址为pp@linkrocket.net。如果我们访问网站linkrocket.net，我们仅能看到一个网站的logo图标页面，并没有提供其他任何信息。但是，如果我们通过存档网站查看其从2014年5月起的版本，我们就可以在logo页面发现三个邮箱地址，由此我们得到了Mason Soiza的真实的电子邮件地址mason@linkrocket.net。

使用电子邮件搜索引擎Pipl搜索mason@linkrocket.net，我们获取到了一长串关于Mason Soiza的社会背景信息。

包括在诺丁汉Mason Soiza的LinkedIn个人资料。这些信息现已被他删除，我们看到的是一个快照页面。

soiza的LinkedIn的个人资料显示，自2014年至今他一直担任Payday Loans的CEO。

我们访问www.paydayloansnow.co.uk这个网址，打开页面的左上角显示信息如下：

页面的页脚信息如下：

从页面底部我们大致可以获取到以下信息：

• Paydayloansnow.co.uk被证实属于soiza互联网营销有限公司（SIML）。
• SIML在英国登记的金融服务编号为748266
• Quint集团有限公司登记的金融服务参考编号为669450
• SIML的公司编号为09861376

通过FCA（英国金管局）的金融服务注册查询功能，我们查询了SIML的参考编号，并获取到如下信息：

在FCA我们同样发现了mason@inkrocket.net这个邮件地址。但实际上inkrocket.net这个域并不存在，真正的完整域名应该是(l)inkrocket.net。

soiza代表谁？

根据英国金融管理局的数据，“soiza互联网营销有限公司”授权为Quint集团有限公司介绍客户。Quint提供金融服务，由Soiza进行推销。

soiza同时还经营着www.unsecuredloans4u.co.uk，同样也是转售Quint的金融产品。

我打电话给Quint在英国的合规总监Graham McGifford。他告诉我，Quint有自己的的标准，代表们都需要遵循我们的相关标准，必要时他们会采取相应的行动。

Quint证实，Mason Soiza是其一个授权的代表，或“介绍人”FCA网站称。

Graham要求我发送更多相关信息给他，以便他们更好的调查此事。我们将转发这篇博文给他。

Mason Soiza与404 to 301插件垃圾广告的联系

在之前有关Soiza发送给Steph的谈判电子邮件中，他提到了购买了404 to 301插件：

https://en-gb.wordpress.org/plugins/404-to-301/ < -这是几周前购买的，在过去它曾有些负面新闻，所以我们决定修复并改进它

在去年的八月份，我们发布了一篇题为“404-to-301插件存在损害用户利益行为”的文章。这是一个有争议的作品，后续我们还发布了一篇题为“我们将永远把客户和社区放在第一位”的文章。

在随访中，我们提到出现在英国特别是学校网站的垃圾广告均来自404 to 301插件，例如cityofescorts.co.uk一个专门提供escort服务（主要是指性交易服务）的网站广告就被呈现在了学校网站上。以下是获取404 301插件垃圾广告内容的代码：

这是一张做过模糊处理的截图：

通过对cityofescorts.co.uk这个网址的WHOIS查询，你会发现该域名的所有者是Mason Soiza。

wpcdn.io服务器被404 to 301用于垃圾内容分发，直到今天依旧处于正常运行的状态。我们访问了wpcdn.io，页面为我们提供了paydayloansnow.co.uk这个网址，在之前我们已经证实这是soiza的另一个网站。

soiza声称他购买了404 to 301这个插件。我尝试与该插件的作者Joel James取得联系，看看这是不是真的。可惜最终我没能联系上他。

去年8月份，Joel James曾在博客中写道：

我们想要获取到更多的细节信息，如果Joel能看到这篇文章并在评论中给予我们帮助，我们将非常感谢！

soiza还购买了其他什么插件？

在他给Steph，Soize的电子邮件提到了其他两个插件：

https://wordpress.org/plugins/wp-slimstat/ <– managed by Dino

https://wordpress.org/plugins/finance-calculator-with-application-form/ < -这款插件是两天前买的，我们后续会对它进一步的改进设计

我没能与”WP slimstat”的作者联系上。

幸运的是我与“金融计算器”插件的作者Ciprian Popescu取得了联系。Ciprian与我分享了相关细节信息。

Ciprian说：soiza是在今年年初与他接触的，当时他使用的是化名“Kevin Danna”并向我表达了购买插件的意愿。

Soiza最终以600美元的价格购买了金融计算器。在与 Ciprian的沟通过程中，Mason Soiza似乎犯了一个低级的错误，他竟将‘Mason’留在了化名邮件内容的最后。以下是Ciprian分享给我的截图：

soiza也在WordPress论坛上使用过化名Kevin Danna。

Ciprian告诉我，由于某些原因，Soiza在购买插件后从未更新过插件。在了解了Display Widgets的情况后，他已收回金融计算器插件的控制权，并撤销了Soiza的访问权限。

我与Soiza的对话

现在我们有确凿的证据证明，soiza使用化名“Kevin Danna”的电子邮件地址与人沟通。我们也知道Display Widgets插件的新所有者，在WordPress论坛上也使用了这个地址。

我通过电子邮件与“Kevin Danna”取得了联系。我询问了关于在他们网站wpdevs.co.uk提到的34款插件的情况。以及Display Widgets中的恶意代码，是否是他有意为之。以下是我收到的署名为“Kevin”的电子邮件回信：

Hi Mark,

我的故事，你可能不知道。几个月前我被诊断出得了肺癌，我的生命只剩下短暂的几个月/只有一年不到的时间。所以我将所有的插件都售卖给了其他人。

Display Widgets插件被卖给了一家在加利福尼亚的公司，他们让我签署了一份保密协议。这是我卖给这家公司的唯一插件。他声称“Drupal插件很多，这是他的第一个WordPress插件。我花了15000美元买这个插件，但卖了20000美元。他们告诉我他们正在用它在工具栏上做广告，我想你可以用它来搜索它们。

关于那34个插件，那是我职业生涯的顶峰。在购买这些插件后，我会用夸大的广告宣传标语例如“有超过100000 +网站使用”等字眼来提高他们的价格并出售它们。

最后，我对我所造成的不便深表歉意。祝你好运！

Thanks

Kevin D

我们知道，soiza从Steph那买了Display Widgets插件以及从Ciprian那购买了金融计算器插件。我们知道，Soiza利用化名Kevin Danna的电子邮件地址与人通讯交流。我们也知道Mason Soiza使用自己的域名，通过“404 to 301”插件滥发广告信息。我们还知道，Steph以15000美元的价格将插件卖给了Mason Soiza，以及wpdevs.co.uk网站是今年四月才刚注册的。所以这并不是一个他所谓的老业务，从soizade公开的Facebook个人资料来看，也并不像其所说的那样身患绝症！

环环相扣

通过在Whoisology上对soiza的电子邮件地址搜索后，我们获取到了他所拥有的以下域名：

• onlineblackjackexpert.net（Active二十一点网站）
• 0xd0d78w2.info（被谷歌列为服务恶意软件。如下所示）

当打开0xd0d78w2.info页面会看到一个警告弹框，声称你的电脑被感染，并试图让你拨打“微软”的支持热线。它看起来像这样（Archive.org提供）：

蓬勃发展期

soiza似乎正享受着高品质的生活。在他公开的脸谱网简介中，他提到今年5月参加了摩纳哥大奖赛。

四月份，他曾发布了一条带位置的消息，显示他在纽约的一家鸡尾酒店Dead Rabbit消费（一杯鸡尾酒的价格为16美元）。

去年一个名为“Mason Reece Soiza”的用户曾在rate-drive-co.uk网站发布了一张法拉利 458?Italia豪车的照片，车牌号为“MA52 SON”。

由此可见Soiza的生意做得相当的成功。

结语

从网上收集的公开资源来看，Mason Soiza对广泛的网上业务有兴趣，包括发薪日贷款、赌博和‘escort’服务等。

他也经常活跃于一些黑帽论坛，并遭到了”Black Hat World” (用户名 LinkRocket) 和WickedFire.com (用户名?MasonSoiza)论坛的封杀。

此外，我们也证实了soiza购买金融计算器插件和Display Widgets插件，并在Display Widgets插件添加后门，允许自己在目标站点任意发布删除内容，以及访问目标站点。

最后，如果你发现你所使用插件的作者是“Kevin Danna” 或 “Mason Soiza”建议你立即删除该插件。

*参考来源：wordfence，FB小编 secist 编译，转载请注明来自FreeBuf.COM

转载请注明：即刻安全 » 找出恶意垃圾邮件插件的幕后“真凶”