Москва +7 (495) 221-21-41
Ростов-на-Дону +7 (863) 320-09-60
- Москва
- Ростов-на-Дону
- Кемерово
- Новосибирск
- +7 (495) 221 21 41
- +7 (863) 320 09 60
- +7 (384) 221 56 41
- +7 (495) 221 21 41
Несколько вредоносных расширений были отключены «Яндексом» и «Лабораторией Касперского»
12.01.2021
Вскоре появилась новая проблема: эксперты установили, что владельцы онлайн-кинотеатров накручивают просмотры через расширения. Посторонних звуков не было, т.к. видео воспроизводилось в беззвучном режиме и на скрытой вкладке, однако это влекло за собой крупный расход трафика. Более того, жертвами стали не только обычные пользователи, но и сотрудники «Яндекса». Компания изъяла у своих работников проблемные ноутбуки для экспертизы.
Оказалось, что на них было установлено одно из уже названных расширений для браузера: SaveFrom.net, Frigate Light или Frigate CDN. Анализ двух последних показал, что они имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Поскольку они обновляются ежечасно, именно через них и проводились мошеннические действия. Эксперты признали, что воспроизведение видео без звука - лишь один из множества возможных симптомов, и с помощью JS-скриптов можно осуществлять куда более опасную деятельность.
Интересно, что если открыта страница поддержки Яндекс.Браузера или служба анализа траффика, вредоносный код прекращает деятельность. Это является примером обфускации, то есть запутывания следов и внесения неясности в механизм работы кода. Аналитики «Яндекса» подвели итог:
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.»
На днях «Лаборатория Касперского» и «Яндекс» сделали заявление о том, что в расширениях SaveFrom.net, Frigate Light, Frigate CDN и ряде других найден вредоносный код. В итоге эти расширения, всего около 20, были отключены.
Аудитория пользователей, у которых они были установлены - примерно восемь миллионов человек. Началось всё с жалоб на звуковую рекламу, которая воспроизводилась даже при закрытых вкладках на стартовой странице. Анализ показал, что у жаловавшихся стояло расширение для загрузки видео SaveFrom.net. После его отключения пропадала и реклама. «Яндексу» разработчики расширения объяснили, что инцидент, возможно, связан с ошибкой конвертера. С обновлением расширения сторонние звуки исчезли полностью.Вскоре появилась новая проблема: эксперты установили, что владельцы онлайн-кинотеатров накручивают просмотры через расширения. Посторонних звуков не было, т.к. видео воспроизводилось в беззвучном режиме и на скрытой вкладке, однако это влекло за собой крупный расход трафика. Более того, жертвами стали не только обычные пользователи, но и сотрудники «Яндекса». Компания изъяла у своих работников проблемные ноутбуки для экспертизы.
Оказалось, что на них было установлено одно из уже названных расширений для браузера: SaveFrom.net, Frigate Light или Frigate CDN. Анализ двух последних показал, что они имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Поскольку они обновляются ежечасно, именно через них и проводились мошеннические действия. Эксперты признали, что воспроизведение видео без звука - лишь один из множества возможных симптомов, и с помощью JS-скриптов можно осуществлять куда более опасную деятельность.
Интересно, что если открыта страница поддержки Яндекс.Браузера или служба анализа траффика, вредоносный код прекращает деятельность. Это является примером обфускации, то есть запутывания следов и внесения неясности в механизм работы кода. Аналитики «Яндекса» подвели итог:
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.»
© Все права защищены 2003-2024 г.
ООО "АРинтег"
Политика обработки персональных данных
Антикоррупционная политика ООО "АРинтег"
