ARinteg.ru

  • Москва
  • Ростов-на-Дону
  • Кемерово
  • Новосибирск

  • +7 (495) 221 21 41
  • +7 (863) 320 09 60
  • +7 (384) 221 56 41
  • +7 (495) 221 21 41
ARinteg Вконтакте Дзен ARinteg Arinteg Telegram home print mail site-map     

Несколько вредоносных расширений были отключены «Яндексом» и «Лабораторией Касперского»

12.01.2021

На днях «Лаборатория Касперского» и «Яндекс» сделали заявление о том, что в расширениях SaveFrom.net, Frigate Light, Frigate CDN и ряде других найден вредоносный код. В итоге эти расширения, всего около 20, были отключены.

Аудитория пользователей, у которых они были установлены - примерно восемь миллионов человек. Началось всё с жалоб на звуковую рекламу, которая воспроизводилась даже при закрытых вкладках на стартовой странице. Анализ показал, что у жаловавшихся стояло расширение для загрузки видео SaveFrom.net. После его отключения пропадала и реклама. «Яндексу» разработчики расширения объяснили, что инцидент, возможно, связан с ошибкой конвертера. С обновлением расширения сторонние звуки исчезли полностью.

Вскоре появилась новая проблема: эксперты установили, что владельцы онлайн-кинотеатров накручивают просмотры через расширения. Посторонних звуков не было, т.к. видео воспроизводилось в беззвучном режиме и на скрытой вкладке, однако это влекло за собой крупный расход трафика. Более того, жертвами стали не только обычные пользователи, но и сотрудники «Яндекса». Компания изъяла у своих работников проблемные ноутбуки для экспертизы.

Оказалось, что на них было установлено одно из уже названных расширений для браузера: SaveFrom.net, Frigate Light или Frigate CDN. Анализ двух последних показал, что они имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Поскольку они обновляются ежечасно, именно через них и проводились мошеннические действия. Эксперты признали, что воспроизведение видео без звука - лишь один из множества возможных симптомов, и с помощью JS-скриптов можно осуществлять куда более опасную деятельность.

Интересно, что если открыта страница поддержки Яндекс.Браузера или служба анализа траффика, вредоносный код прекращает деятельность. Это является примером обфускации, то есть запутывания следов и внесения неясности в механизм работы кода. Аналитики «Яндекса» подвели итог:

«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.»

Возврат к списку

qrcode
ARinteg Вконтакте   Дзен ARinteg   Arinteg Telegram