Steph证实,他们已经以1.5万美元的价格将DisplayWidgets插件卖给了一个名为“MasonSoiza”的人。Steph通过他们的网络联系方式找到了他们原始的对话邮件,具体内容如下:
–Beginemail–
我们想从你那里购买这个插件,并获得插件的所有权,这样可以减轻你的开发压力。
我们正尝试建立一个最大的wordpress插件公司,在建立之前,我们需要购买一些大型的插件,就像你的这款。
我想知道我和我的团队是否能够从你那里购买到这款插件,并对它进行完全的开发管理,推出一个更新的版本,使它能够更好地支持wordpress。
我们还将把我们的管理团队放到支持论坛上,并确保用户的使用体验,如果有任何其他需求,我们将把它们添加到下一次的更新当中。
我们现在拥有和管理的插件,目前已经超过34个。
–Endemail–
在谈判阶段的4月24号,他们还收到了另一封来自Soiza的邮件:
我们每个帐户都有一个插件,因为WordPress不喜欢人们出售或购买插件,这样做能对我们起到一定的保护作用。
我可以举出几个来:
我们还有许多其他的插件,而这些都是最近的。
当将它们作为销售策略使用,将非常有助于我们的网络业务,世界范围内的3000万站点将呈现我们的代码。虽然听起来有些可笑,但这在我们的行业中是非常有意义的。
注意,我用红色标注了的“404to301”插件。后面我们还会对它做进一步的探讨。
由于这个插件不再是Steph和她丈夫生意的核心部分,所以他们最终决定卖掉它。
Paypal的交易显示,2017年5月19日“MasonSoiza(pp@linkrocket.net)支付了15,000.00美元的付款”
Steph收到的合同是由MasonSoiza签署的。
Stephanie收到的合同是由MasonSoiza签署的。联系人的公司名称为:
SoizaLimitedofJubileeCottage,位于英国诺丁汉市,NG122LD。
具体如下所示:
soiza的LinkedIn的个人资料显示,自2014年至今他一直担任PaydayLoans的CEO。
页面的页脚信息如下:
从页面底部我们大致可以获取到以下信息:
在FCA我们同样发现了mason@inkrocket.net这个邮件地址。但实际上inkrocket.net这个域并不存在,真正的完整域名应该是(l)inkrocket.net。
soiza代表谁?
在之前有关Soiza发送给Steph的谈判电子邮件中,他提到了购买了404to301插件:
这是一张做过模糊处理的截图:
通过对cityofescorts.co.uk这个网址的WHOIS查询,你会发现该域名的所有者是MasonSoiza。
wpcdn.io服务器被404to301用于垃圾内容分发,直到今天依旧处于正常运行的状态。我们访问了wpcdn.io,页面为我们提供了paydayloansnow.co.uk这个网址,在之前我们已经证实这是soiza的另一个网站。
去年8月份,JoelJames曾在博客中写道:
soiza还购买了其他什么插件?
我没能与”WPslimstat”的作者联系上。
Ciprian说:soiza是在今年年初与他接触的,当时他使用的是化名“KevinDanna”并向我表达了购买插件的意愿。
我与Soiza的对话
我通过电子邮件与“KevinDanna”取得了联系。我询问了关于在他们网站wpdevs.co.uk提到的34款插件的情况。以及DisplayWidgets中的恶意代码,是否是他有意为之。以下是我收到的署名为“Kevin”的电子邮件回信:
HiMark,
最后,我对我所造成的不便深表歉意。祝你好运!
Thanks
KevinD
环环相扣
当打开0xd0d78w2.info页面会看到一个警告弹框,声称你的电脑被感染,并试图让你拨打“微软”的支持热线。它看起来像这样(Archive.org提供):
蓬勃发展期
四月份,他曾发布了一条带位置的消息,显示他在纽约的一家鸡尾酒店DeadRabbit消费(一杯鸡尾酒的价格为16美元)。
由此可见Soiza的生意做得相当的成功。
结语
从网上收集的公开资源来看,MasonSoiza对广泛的网上业务有兴趣,包括发薪日贷款、赌博和‘escort’服务等。
此外,我们也证实了soiza购买金融计算器插件和DisplayWidgets插件,并在DisplayWidgets插件添加后门,允许自己在目标站点任意发布删除内容,以及访问目标站点。
最后,如果你发现你所使用插件的作者是“KevinDanna”或“MasonSoiza”建议你立即删除该插件。