Онлайн-кинотеатр Tvigle продвигается с помощью вирусного ПО

Пользуюсь браузером Opera и вдруг сегодня начали самопроизвольно загружаться PHP-файлы.

Название файлов рандомное - tvigleXXX.php, в них прописаны редиректы на сайт tvigle.ru, с UTM-метками:

Скачивание идёт с домена traf.store, на главной странице сайта стоит заглушка, в которой написано, что это закрытая биржа трафика, вход в которую только по инвайтам.

Во whois данные закрыты, но домен зарегистрирован в 2019 году. Может кто поищет информацию.

В официальной группе tvigle вконтакте сыпятся жалобы. И есть мнение, что скачивание файлов происходит из-за установленного расширения для браузера SaveFrom.

Интересно, это партнёр какой-то? Но, судя по обычным utm-меткам, сами так трафик сливают?