Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Пользуюсь браузером Opera и вдруг сегодня начали самопроизвольно загружаться PHP-файлы.

Название файлов рандомное - tvigleXXX.php, в них прописаны редиректы на сайт tvigle.ru, с UTM-метками:

Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Скачивание идёт с домена traf.store, на главной странице сайта стоит заглушка, в которой написано, что это закрытая биржа трафика, вход в которую только по инвайтам.

Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО
Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Во whois данные закрыты, но домен зарегистрирован в 2019 году. Может кто поищет информацию.

Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

В официальной группе tvigle вконтакте сыпятся жалобы. И есть мнение, что скачивание файлов происходит из-за установленного расширения для браузера SaveFrom.

Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Интересно, это партнёр какой-то? Но, судя по обычным utm-меткам, сами так трафик сливают?

88
13 комментариев

Пфффф, да это реферальный партнер (реферал ref=1075) использовал грязные методы получения дешевого трафика, но прокосячился с настройками сервера, который вместо исполнения PHP скриптов стал их отдавать как файлы. Тоже-мне сенсация! Пожалуйтесь в tvigle на него да и все.

PS: Tvigle платит за просмотры некоторых роликов, любой может зарегистрироваться на одной из CPA платформ, где есть этот оффер, и попрактиковаться сам в приводе желающих посмотреть ролики)

PSS:  Save Form скорее всего лишь одно из звеньев в цепочке, они трафик продают, но рефералом является кто-то между ними и твиглом. Кстати, возможно, этот кул-хацкер просто эксплуатирует какую-то уязвимость в расширении.

4

Тоже скачался файл; думаю, что дело всё же в расширении.
Интересно посмотреть на сверхразумов, которые решили, что это будет эффективной маркетинговой акцией.

3

Всё  странно:
- Почему php? (его можно запустить с сервера, где стоит интерпретатор)
- Почему скачивает? (Он не должен был отдавать их браузеру в виде файла)
- Почему не зашифрован/сжат?
- Почему внутри файлов вызов списка  URL от сервера, а не от браузера? (Так их быстро отследят и забанят)
Самый банальный ответ на все эти вопросы, что файлы должны были запуститься на сервере сервиса для вызова голосования этого сервиса, но я бы дергал сразу голоса, всё равно в логи запишутся голосование с адреса сервера, а не клиента. Непонятно.

1

из-за установленного расширения для браузера SaveFrom

Ну здрасьте. Это же известное вредоносное расширение. Оно годами суёт рекламу. Если вам так нужно сохранять видосы и при этом не быть частью ботнета, то вот: https://addons.mozilla.org/ru/firefox/addon/video-downloadhelper/

1

С каждым расширением может быть такая участь.

О, еще и пост, в котором собирались недовольные комменты, потерли.

Хм...А что делать с этим Save From,если он встроен в сам браузер и его не как не удалить? Открывает  сайты со спамом,но не Tvigle?