Вчера специалисты компаний «Яндекс» и «Лаборатория Касперского» сообщили, что нашли потенциально вредоносный код в популярных браузерных расширениях. В итоге были отключены SaveFrom.net, Frigate Light, Frigate CDN и ряд других расширений (в общей сложности более 20), чья суммарная аудитория превышала 8 000 000 человек.

Инженеры «Яндекса» рассказали, что некоторое время назад им стали поступать жалобы пользователей на некий странный звук, который можно было принять за голосовую рекламу, хотя в браузере не было открыто ничего подозрительного.

Как оказалось, у всех пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net, и его отключение действительно отключало и странные фоновые звуки. Представители «Яндекса» связались с разработчиками расширения, и те высказали предположение, что это ошибки конвертера, и внесли исправления. После этого обновления расширения жалобы на звук прекратились.

Однако в ноябре текущего года антифрод-команда «Яндекса» заподозрила неладное. Специалисты получили сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи на самом деле не видели видео, потому что оно воспроизводилось на фоне. Тем не менее, это приводило к существенному потреблению трафика и перегружало работой вычислительные ресурсы компьютера, и такое поведение никак нельзя было назвать добросовестным.

«На посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).

Но все оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.

На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store)», — рассказывают специалисты в блоге компании.

В итоге оказалось, что оба расширения семейства Frigate (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Таким способом расширения в фоне подтягивали потенциально вредоносный код.

«Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода», — гласит отчет.

Интересно, что все расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени мог быть любым, сколь угодно опасным. Скрытое воспроизведение видео могло быть лишь одним из множества возможных симптомов, признают эксперты.

Также обнаружилось, что сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика.

В конечном итоге специалисты пришли к выводу, что расширения получали задания от собственного управляющего сервера и генерировали фрод-трафик, проигрывая видео в скрытых вкладках, а также имели возможность перехватывать токены oAuth-токены «Вконтакте» (правда неясно, использовался ли данный механизм на практике). Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения, включая обфускацию и сжатия.

«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).

Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов»,  — резюмируют аналитики «Яндекса».

9 комментариев

  1. Аватар

    miradmin

    25.12.2020 в 11:49

    Будут-ли «маски шоу» в яндексе и у Касперского? Ходили слухи, что «фригэйт» проект ФСБ.

  2. Аватар

    Aruki Gdenado

    26.12.2020 в 05:41

    Прям таки…
    Такое было уже где-то 2-3 года назад./яндекс-браузер/.Использовал, точно не помню, «фрегат-впн» типа.
    Перестал им пользоваться.
    Тогда стал пользоваться Firefox.Так вот при поиске расширений: фрегат был помечен уже тогда красной тряпкой.

  3. Аватар

    БестХацкер

    28.12.2020 в 10:24

    Про вредоносность Яндекса мы, конечно же, промолчим. Это не по курсу партии:)

  4. Аватар

    Aloizius

    31.12.2020 в 11:45

    Што-то мне подсказывает, что тут не обошлось без товарища А.Ю. Липова и его Министерства правды))

  5. Аватар

    alextx

    04.01.2021 в 15:37

    да у меня гугл браузер странно работал загружен был при открытых пару вкладок поцессы посмотрел что то выполнял я думал браузер а потом мысля проскачила не может быть чтоб гугл так себя вёл а оказывается вот где собака зарыта да стоял у меня фригейт и ещё дополню недавно в танках чел зашёл в укрепы и не понятно откуда голос был пробил всех пользователей кторые были у меня в комнате в смысле заглушил а человек ни откуда говорит вот так вот ребята следят за нами в инете)))

  6. Аватар

    Чайник со стажем

    13.01.2021 в 16:20

    Объясните чайнику, какое отношение Яндекс и Касперский имеют к моему браузеру Опера, установленному на моем компьютере с Windows и как они отключают мои браузерные расширения, я ни на какие программы и услуги от касперского и яндекса не подписывалась. Можно ли подключить расширения обратно, ведь понятно, для чего они отключены, а не для «заботы о клиенте», мне их заботы нах не нужны.
    P.S. Если бы это «ребята следили за нами в инете», то яндекс и касперский не пикнули бы.

    • Аватар

      Чайник со стажем

      13.01.2021 в 16:59

      Вчиталась, поняла, что яндекс отключил фригейт в своем личном браузере и хотя бы оставил возможность пользователю подключить обратно на свой страх и риск, но у меня сегодня в Опере фригейт отключился, причем без возможности обратного включения.

Оставить мнение