Topic: Conoscete l'estensione rocket speed booster?

[crazy.cat]

Girovando nel web mi è capitato di veder apparire i due popup che trovate più sotto, dopo un paio di rimbalzi su siti strani finisco nella pagina ufficiale dell'estensione in questione https://addons.mozilla.org/af/firefox/addon/rocket-speed-booster/
A parte la descrizione praticamente nulla dell'estensione, non vedo opzioni, non blocca le pubblicità su youtube, mentre blocca abbastanza bene le altre.
Su alcuni siti, uno che ritenevo abbastanza attendibile, viene classificato come un malware e forniscono delle pseudo guide su come rimuoverlo.
Installato in macchina virtuale non mi sembra che crei problemi alla navigazione e non trovo malware.
Dato che ho visto almeno un altra estensione che viene (diciamo) pubblicizzata nello stesso modo, si spaccia solo per aggiornamento di flash player, mi piacerebbe capire se possono essere gli autori stessi delle estensioni che cercano di farsi conoscere o è qualche truffatore, che però non capisco perché rimandi a una vera estensione ospitata sul sito di mozilla e non a un fake come avevo postato qui https://forum.mozillaitalia.org/index.php?topic=76535.0

[Iceberg]

Qualche considerazione.
Poche informazioni riguardanti l'estensione. C'è solo il nome e la versione, 1.0.0 la prima e l'unica versione riportata.
Per contro se si trova su mozilla addons qualche verifica sarà stata fatta.
È un file piccolo.
Sembra una specie di adblocker con regole fisse, poche regole generiche che eliminano elementi generalmente inutili.
Classificato come malware in base a cosa?
Andrebbe letto il codice, che non è tanto.
Potrebbe essere una prima versione che prepara la strada a una seconda? Prima innocua, quasi utile, e seconda no?

[crazy.cat]

Sembra una specie di adblocker con regole fisse, poche regole generiche che eliminano elementi generalmente inutili.

Si, non hai nessuna opzione, liste o qualsiasi cosa di un ablocker classico.
Solo un pulsantone on/off.

Classificato come malware in base a cosa?

In base a chi ha fatto le guide per cercare di venderti qualche programma inutile contro questo presunto malware.

A me pare strano il metodo di distribuzione con questi popup messi su siti di dubbia natura.
Quindi mi piaceva provare a capire perché lo fanno e se sono delle vere estensioni a questo punto.

[Winfox]

Io mi guarderei bene da qualsiasi cosa proveniente da siti dubbi, e da qualsiasi addon, sebbene ospitato dai server Mozilla, che non sia utilizzato da molte persone e che abbia tante recensioni.

Di fatto, da quando c'è stato il passaggio alle webextension e le continue modifiche al browser, non ho più il tempo di guardare oltre la prima pagina degli addon consigliati.

Poi, se li vuoi provare su windows, vuol dire andarsele a cercare 

[deckard]

A me insospettisce tantissimo l'immagine 1: sembra che ci sia un installatore, un exe, un vbs, un ?!?, che rimanda a un sito per cui varrebbe la pena fare un bel Whois o un IP Lookup tramite Flagfox.
Da una breve ricerca (con keyword il sito che compare nell'immagine) sembra essere un browser hijacker.
Facendo una ricerca su Virustotal vedo che

1 security vendor (CyRadar, ndr) flagged this domain as malicious

Io starei alla larga dal componente aggiuntivo.

[crazy.cat]

Ecco un esempio di chi la classifica come malware
https://www.2-spyware.com/remove-rocket-speed-booster-browser-hijacker.html
A parte che non fa tutti i danni che dicono al browser, e questo vuol dire che non è stata proprio provata da chi scrive, raccomandano il programma reimage per risolvere il tutto.
Reimage è un programma a pagamento classificato come PUA, cioè falso e inutile.
Quindi per rimuovere una estensione classificata da loro come malware ti propongono un programma a pagamento che è molto simile a un malware.

Ho riguardato e anche i presunti aggiornamenti di flash player, proposti negli stessi siti, rimandano sempre a questa estensione.

L'estensione sarà anche buona, i metodi usati per promuoverla e tentare di distribuirla non lo sono.

 

[crazy.cat]

Per chiudere il discorso, visto che ho finito di provare l'estensione e recensirla:
1) Nel pc virtuale dove ho provato non ci sono dei malware
2) nel link iniziale del sito che si vede nell'immagine che ho postato si vede un numero identificativo di campagna, come se servisse a capire cosa stanno spacciando, e un "price" che può essere il costo pagato agli "spacciatori" per il loro lavoro. (suppongo)
3) L'unica cosa che non mi piace è che quando apri il browser si vedono dei log di connessione verso il sito degli "spacciatori".

Anche se l'estensione è tra gli addon di mozilla io due chiacchiere con lo sviluppatore magari le farei di nuovo per capire cosa succede e se lui è coinvolto.
Poi, nel dubbio, butterei fuori l'estensione dagli addon, tanto non è che funzioni così bene.

[next]

Una piccola curiosità, il link all'estensione che hai postato porta alla versione in lingua afrikaans del sito di Mozilla AddOn. Lo trova abbastanza inconsueto e troppo mirato... non so cosa significhi ma mi sembra strano

[crazy.cat]

Il link lo avevo preso dalla ricerca google, io venivo dirottato sul link italiano.

[next]

Il link lo avevo preso dalla ricerca google, io venivo dirottato sul link italiano.

ok, come non detto allora

[Iceberg]

3) L'unica cosa che non mi piace è che quando apri il browser si vedono dei log di connessione verso il sito degli "spacciatori".

Hai verificato se lo fa anche con cronologia e cookie e compagnia tutti eliminati? L'estensione non sembra connettersi a nulla se non a mozilla addons.
Di anomalo, oltre a "non capisco perché rimandi a una vera estensione ospitata sul sito di mozilla", c'è il codice che non ha nessun commento e un file con oltre 300 righe di codice disattivato senza nessun appunto del perché sia stato disattivato.
 

[miki64]

OK, crazy.cat, però per favore correggi questo pugno nell'occhio dal tuo articolo:

Lunghe è complicate licenze d’uso che nessuno leggerà mai.

Tra l'altro, notate niente di strano in questa immagine?

[crazy.cat]

OK, crazy.cat, però per favore correggi questo pugno nell'occhio

Corretto. Grazie

Tra l'altro, notate niente di strano in questa immagine?

Cosa? Non ci arrivo....

Update: In effetti dopo aver ripulito per bene firefox non tenta più di connettersi. Comunque la protezione web di malwarebytes bloccava il tentativo di connessione in avvio del browser.

[miki64]

Tra l'altro, notate niente di strano in questa immagine?

Cosa? Non ci arrivo....

Le e accentate  (è) sono derivate da una tastiera italiana, la i accentata invece no (è una i').

Lo trovo molto strano.

[deckard]

Anche la mancata coerenza stilistica che denota una poco affidabile traduzione frettolosa o automatizzata:
<<Aggiornamento di Flash Player>> Accettare Declino
Declino come nome non ha senso. Declino come verbo (prima persona singolare, tempo presente, modo indicativo,....) ancor meno.
Oltre al fatto che le nostre guide stilistiche prevedono che non si pers0nalizzino le indicazioni: “Installa l'ultima versione...” “Di' addio...”