Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Пользуюсь браузером Opera и вдруг сегодня начали самопроизвольно загружаться PHP-файлы.

Название файлов рандомное - tvigleXXX.php, в них прописаны редиректы на сайт tvigle.ru, с UTM-метками:

Скачивание идёт с домена traf.store, на главной странице сайта стоит заглушка, в которой написано, что это закрытая биржа трафика, вход в которую только по инвайтам.

Во whois данные закрыты, но домен зарегистрирован в 2019 году. Может кто поищет информацию.

В официальной группе tvigle вконтакте сыпятся жалобы. И есть мнение, что скачивание файлов происходит из-за установленного расширения для браузера SaveFrom.

Интересно, это партнёр какой-то? Но, судя по обычным utm-меткам, сами так трафик сливают?

0
13 комментариев
Написать комментарий...
Arseniy Potapov

Пфффф, да это реферальный партнер (реферал ref=1075) использовал грязные методы получения дешевого трафика, но прокосячился с настройками сервера, который вместо исполнения PHP скриптов стал их отдавать как файлы. Тоже-мне сенсация! Пожалуйтесь в tvigle на него да и все.

PS: Tvigle платит за просмотры некоторых роликов, любой может зарегистрироваться на одной из CPA платформ, где есть этот оффер, и попрактиковаться сам в приводе желающих посмотреть ролики)

PSS:  Save Form скорее всего лишь одно из звеньев в цепочке, они трафик продают, но рефералом является кто-то между ними и твиглом. Кстати, возможно, этот кул-хацкер просто эксплуатирует какую-то уязвимость в расширении.

Ответить
Развернуть ветку
Паша Голубцов

Тоже скачался файл; думаю, что дело всё же в расширении.
Интересно посмотреть на сверхразумов, которые решили, что это будет эффективной маркетинговой акцией.

Ответить
Развернуть ветку
Prolis Labkk

Всё  странно:
- Почему php? (его можно запустить с сервера, где стоит интерпретатор)
- Почему скачивает? (Он не должен был отдавать их браузеру в виде файла)
- Почему не зашифрован/сжат?
- Почему внутри файлов вызов списка  URL от сервера, а не от браузера? (Так их быстро отследят и забанят)
Самый банальный ответ на все эти вопросы, что файлы должны были запуститься на сервере сервиса для вызова голосования этого сервиса, но я бы дергал сразу голоса, всё равно в логи запишутся голосование с адреса сервера, а не клиента. Непонятно.

Ответить
Развернуть ветку
Boris Polikarpov

Кто-то криво настроил nginx

Ответить
Развернуть ветку
Masha Kovalyova

Кажется вы не очень понимаете, что делает код с картинки

Ответить
Развернуть ветку
Prolis Labkk

Да, вы правы, там в конце хидер перенаправит браузер, а не типа geturl (или как он там).

Ответить
Развернуть ветку
Dmitry Myachin
из-за установленного расширения для браузера SaveFrom

Ну здрасьте. Это же известное вредоносное расширение. Оно годами суёт рекламу. Если вам так нужно сохранять видосы и при этом не быть частью ботнета, то вот: https://addons.mozilla.org/ru/firefox/addon/video-downloadhelper/

Ответить
Развернуть ветку
Александр
Автор

С каждым расширением может быть такая участь.

Ответить
Развернуть ветку
Dmitry Myachin

Однако конкретно то, что в статье, уже ГОДЫ как известно своим адварным поведением.

Ответить
Развернуть ветку
Паша Голубцов

О, еще и пост, в котором собирались недовольные комменты, потерли.

Ответить
Развернуть ветку
Ансат Тургунов

Хм...А что делать с этим Save From,если он встроен в сам браузер и его не как не удалить? Открывает  сайты со спамом,но не Tvigle?

Ответить
Развернуть ветку
Krem-brulee

Сменить браузер

Ответить
Развернуть ветку
TheNick - Ник

Та же ситуация, скачивание таких файллов

Ответить
Развернуть ветку
10 комментариев
Раскрывать всегда