Trochu opožděně, ale přece. V článku o backdoor kódu, který byl objeven v populárním pluginu Display Widgets, padlo jméno Maison Soiza. A protože jsem vám slíbil bližší info o tomto muži, tady ho máte.
Popsat všechny nekalé aktivity Soizy by vydalo na menší knihu. Mladík aktivně spamuje již poměrně dlouho a během minulých 5 let vypustil do světa celkem 9 pochybných WP pluginů. Zaměřme se však na jeho poslední kousek, kdy čtyřikrát po sobě umístil do repozitáře plugin Display Widgets s backdoor kódem.
Do pátrání po Soizovi se pustil Mark Maunder z Wordfence týmu. Kontaktoval původní autorku Stephanii Wells, která mu ochotně poskytla bližší informace o transakci.
Ve zkratce: Soiza autorku pluginu kontaktoval s tím, že jí ušetří spoustu starostí a postará se o další vývoj. Nabídl jí 15 tis. USD a nasliboval hory doly. Mimo jiné i to, že se o uživatelskou základnu královsky postará. Ostatně to i udělal, když později do pluginu vložil backdoor kód. Každý si asi customer support představuje trochu jinak. Že by se Soiza snažil nastolit nový level? :-)
Platba proběhla přes PayPal z e-mailové adresy pp@linkrocket.net. První update na verzi 2.6.1. proběhl 21. června a pro upřesnění – v té době plugin využívalo přes 200 tisíc uživatelů. Jako první reportoval spam Calvin Ngan. Přesněji Payday Loan spam, což je s ohledem na dále uvedené skutečnosti velmi důležitý poznatek.
Seznamte se s Masonem Soizou
Smlouvou, kterou Stephanie Wells obdržela, podepsal Mason Soiza. Jméno společnosti vedoucí na tento kontakt Soiza Limited of Jubilee Cottage, Nottingham, England, NG122LS.
Podle rejstříku je jediným majitelem firmy Mason Reece Soiza, rok narození 1994, britský občan. Povoláním počítačový programátor (nebo spíše spammer?).
E-mail, který Soiza použil v komunikaci je pp@linkrocket.net. Když kouknete na web linkrocket.net, najdete tam pouze logo. Ale stačí se kouknout do archivů z května 2014. Na webu byly uvedeny celkem tři kontaktní e-maily. A když do Googlu zadáte jeden z nich – mason@linkrocket.net, dostanete se k řadě sociálních profilů. Včetně LinkedIn profilu s fotografií (ta už teď na profilu není, ale Maunder si udělal screenshot).
Soiza se na svém LinkedIn profilu prezentuje jako CEO Payday Loans Now od roku 2014. Když kouknete na web www.paydayloansnow.co.uk, najdete tam spoustu informací a mimo jiné i registrační čísla několika společností. Podstatné je, že Soizova společnost prodává finanční služby, které poskytuje společnost Quint Group Limited.
Soizovy aktivity jsou rozsáhlé. Provozuje například web www.unsecuredloans4u.co.uk, ale také www.cityofescorts.co.uk, na který spamoval pomocí jiného WordPress pluginu 404 to 301 plugin. Podle Whoisology vedou Soizovy e-mailové adresy také k webům onlineblackjackexpert.net a 0xd0d78w2.info , kterou Google eviduje jako zdroj malwaru. Než Google web zablokoval, byla na něm hláška, že váš počítač infikoval škodlivý software a telefonní číslo na linku „Microsoftu“.
V podnikání se Soizovi evidentně daří
Když se kouknete na Soizův veřejný profil na Facebooku, dojdete k závěru, že se nemá vůbec špatně. V květnu tohoto roku navštívil Grand Prix v Monacu a v dubnu zase v podniku Dead Rabbit v NY, kde za koktejl zaplatíte kolem 16 USD.
Loni na jedno fórum přidal uživatel Mason Reece Soiza fotku Ferrari 458 Italia s poznávací značkou MA52SON. Uživatelé o něm psali jako o „řidiči idiotovi“.
Suma sumárum, Mason Soiza je aktivní v různých sférách internetového byznysu a zdá se, že se nestydí ničeho. Pohybuje se zejména v oblasti půjček, eskortu, hazardu, což mu evidentně vynáší slušné peníze. Byl aktivní na mnoha black hat internetových fórech, včetně BlackHatWorld.com, kde obdržel ban.
Je tohle konec příběhu? Pravděpodobně nikoliv, protože lidé jako Soiza vždy překvapí něčím novým.
Pingback: Jak elegantně ošéfovat aktualizace pluginů ve WordPressu? - Musilda.cz