Dopo il caso dell’estensione misteriosa vorrei analizzare oggi una seconda estensione per Firefox distribuita tramite metodi quanto meno discutibili. L’estensione si chiama Rocket Speed Booster ed è disponibile tra gli addons ufficiali di Firefox. Vorei fare premessa prima di proseguire, non ho idea se l’estensione sia malevola, bisognerebbe analizzarne il codice a fondo e questo va oltre le mie capacità, sicuramente i metodi utilizzati per farla conoscere e tentare di installarla sono simili a quelli utilizzati tante volte per la distribuzione di malware o di altri programmi di dubbia natura e utilità.
Per tentare di installare l’estensione si ricorre a allarmanti/invitanti popup dove promettono niente più pubblicità
Lunghe e complicate licenze d’uso che nessuno leggerà mai. Si noti il ricorso al nome e al logo di Firefox per cercare di dare più credibilità a questa estensione.
Oppure si spaccia per un aggiornamento indispensabile di Flash Player (ma lo sanno i nostri distributori di malware che Flash Player non esiste più?) che subito dopo diventa Rocket Speed Booster.
Si viene ora rimandati alla pagina del download di Mozilla, se la si visita non ci sono delle grandi descrizioni o dei commenti troppo entusiasti, giusto qualche stellina e l’unico sensato che è “It's advertised on dubious sites. Don't trust this addon!”
Una volta installata l’estensione appare come un unico pulsantone ON/OFF, non ho trovato opzioni, liste o qualsiasi altra cosa di un classico adblocker.
Diciamo che l’estensione funziona, anche se non molto bene, sicuramente non fa tutto quello che promettevano i banner pubblicitari che spingevano ad installarla. Non blocca le pubblicità di Youtube e anche molte pubblicità normali sono ancora visibili.
Dal lunghissimo indirizzo iniziale, trovato nel sito della prima immagine che ho postato nell’articolo, si ricavano un paio di indirizzi Web, un “campaignid” che (forse) serve a identificare il numero della “truffa” (passatemi il termine) in corso, la localizzazione e un “price” che può essere quanto guadagnato dagli autori del sito per ogni click. Le mie sono solo ipotesi, ma mi sembrano plausibili.
Analizzando i due indirizzi, il primo è piuttosto recente mentre il secondo non è più raggiungibile da qualche giorno, appartengono a due società americane.
Su VirusTotal si ha una sola classificazione come pericoloso per uno dei due siti, l’altro risulta pulito.
Il sito, dopo aver installato Malwarebytes viene infatti bloccato nei vari tentativi di connessione a due indirizzi IP diversi.
Analizzando il sistema operativo con diversi programmi, come Malwarebytes, HitmanPro e AdwCleaner, non ho trovato traccia di nessun malware. Però quando apro Firefox si vedono delle connessioni a uno dei due siti visti in precedenza.
Per concludere, non dovete mai credere a tutti i popup che vedete comparire su Internet, sicuramente non sono quello che promettono di essere, ma non fidatevi troppo neanche di tutte le guide, o presunte tali, che vi indicano come risolvere il problema che si è creato nel vostro computer. In genere le istruzioni sono molto generiche, a volte sbagliate, e rimandano all’utilizzo di programmi inutili e a pagamento.
- È necessario eseguire login su TurboLab.it
- La discussione sul forum che contiene i commenti NON deve essere stata chiusa dai moderatori
- Il forum NON deve essere in manutenzione
- L'articolo deve essere stato marcato dall'autore come 'finito'
- Un articolo NON-finito è commentabile se ha ricevuto commenti prima che l'autore lo riportasse in stato NON-finito
]