Москва +7 (495) 221 21-41
Санкт-Петербург +7 (812) 407 34 71
Екатеринбург +7 (343) 247 83 68
Служба техподдержки 8 800 201 98 80
- Москва
- Санкт-Петербург
- Екатеринбург
- Техподдержка
- +7 (495) 221 21 41
- +7 (812) 407 34 71
- +7 (343) 247 83 68
- 8 (800) 201 98 80
Несколько вредоносных расширений были отключены «Яндексом» и «Лабораторией Касперского»
12.01.2021
Вскоре появилась новая проблема: эксперты установили, что владельцы онлайн-кинотеатров накручивают просмотры через расширения. Посторонних звуков не было, т.к. видео воспроизводилось в беззвучном режиме и на скрытой вкладке, однако это влекло за собой крупный расход трафика. Более того, жертвами стали не только обычные пользователи, но и сотрудники «Яндекса». Компания изъяла у своих работников проблемные ноутбуки для экспертизы.
Оказалось, что на них было установлено одно из уже названных расширений для браузера: SaveFrom.net, Frigate Light или Frigate CDN. Анализ двух последних показал, что они имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Поскольку они обновляются ежечасно, именно через них и проводились мошеннические действия. Эксперты признали, что воспроизведение видео без звука - лишь один из множества возможных симптомов, и с помощью JS-скриптов можно осуществлять куда более опасную деятельность.
Интересно, что если открыта страница поддержки Яндекс.Браузера или служба анализа траффика, вредоносный код прекращает деятельность. Это является примером обфускации, то есть запутывания следов и внесения неясности в механизм работы кода. Аналитики «Яндекса» подвели итог:
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.»
На днях «Лаборатория Касперского» и «Яндекс» сделали заявление о том, что в расширениях SaveFrom.net, Frigate Light, Frigate CDN и ряде других найден вредоносный код. В итоге эти расширения, всего около 20, были отключены.
Аудитория пользователей, у которых они были установлены - примерно восемь миллионов человек. Началось всё с жалоб на звуковую рекламу, которая воспроизводилась даже при закрытых вкладках на стартовой странице. Анализ показал, что у жаловавшихся стояло расширение для загрузки видео SaveFrom.net. После его отключения пропадала и реклама. «Яндексу» разработчики расширения объяснили, что инцидент, возможно, связан с ошибкой конвертера. С обновлением расширения сторонние звуки исчезли полностью.Вскоре появилась новая проблема: эксперты установили, что владельцы онлайн-кинотеатров накручивают просмотры через расширения. Посторонних звуков не было, т.к. видео воспроизводилось в беззвучном режиме и на скрытой вкладке, однако это влекло за собой крупный расход трафика. Более того, жертвами стали не только обычные пользователи, но и сотрудники «Яндекса». Компания изъяла у своих работников проблемные ноутбуки для экспертизы.
Оказалось, что на них было установлено одно из уже названных расширений для браузера: SaveFrom.net, Frigate Light или Frigate CDN. Анализ двух последних показал, что они имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Поскольку они обновляются ежечасно, именно через них и проводились мошеннические действия. Эксперты признали, что воспроизведение видео без звука - лишь один из множества возможных симптомов, и с помощью JS-скриптов можно осуществлять куда более опасную деятельность.
Интересно, что если открыта страница поддержки Яндекс.Браузера или служба анализа траффика, вредоносный код прекращает деятельность. Это является примером обфускации, то есть запутывания следов и внесения неясности в механизм работы кода. Аналитики «Яндекса» подвели итог:
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.»
© Все права защищены 2003-2021 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"
