Een kwaadaardige Firefox plug-in verspreidt zich op dit moment via pornosites en Facebook en probeert besmette browsers voor clickfraude te misbruiken. De plug-in doet zich op de websites voor als Adobe Flash Player. De gebruiker zou de software moeten installeren om een video te kunnen bekijken. De aangeboden Flash Player is echter niet van Adobe.com afkomstig, maar van pornosite freepornix.com.

Clickfraude
Eenmaal geïnstalleerd neemt de kwaadaardige plug-in browsersessies over en laadt in de achtergrond andere websites, die mogelijk met malware besmet zijn, zo waarschuwt de organisatie Stop Malvertising.

Tevens worden er links in het Google zoekvenster geïnjecteerd waarvoor de malwaremakers betaald krijgen en worden Facebook-sessies overgenomen. De plug-in plaatst vervolgens bij de vrienden van het gekaapte account links naar een virale video.

Facebook
De bit.ly link waar de video te zien zou zijn, komt uit op een website die zich als Facebook voordoet. Om de video te kunnen bekijken moet de gebruiker Adobe Flash Player installeren, waarna de cyclus zich herhaalt. Naast een extensie voor Firefox, is er ook een variant voor Internet Explorer actief, die een browser helper object (BHO) installeert, die hetzelfde gedrag vertoont.