Подписаться на Хакер Вчера эксперты Яндекса и Лаборатории Касперского сообщили, что обнаружили потенциально вредоносный код в популярных расширениях для браузеров. В результате они отключили функцию SaveFrom. Инженеры Яндекса сообщили, что некоторое время назад они начали получать жалобы от пользователей на странные звуки, которые можно было принять за голосовую рекламу, хотя в браузере не было ничего подозрительного.
Оказалось, что у всех пострадавших было установлено расширение для скачивания видео с сервиса SaveFrom. Представители "Яндекса" связались с разработчиками расширения, и те предположили, что это была ошибка в конвертере, и внесли исправления.
После этого обновления жалобы на звук прекратились. Однако в ноябре этого года у команды Яндекса по борьбе с мошенничеством возникли подозрения. Эксперты получили информацию о том, что кто-то использует популярные браузеры для подделки просмотров видео в онлайн-кинотеатрах.
Пользователи на самом деле не видели видео, потому что оно проигрывалось в фоновом режиме. Однако это вызывало значительный трафик и перегружало вычислительные ресурсы ПК, и это нельзя было назвать хорошим поведением.
Это можно легко объяснить намеренным исключением аудитории Яндекс. Браузера из целевой аудитории. В прошлом мы неоднократно наблюдали подобные попытки избежать обнаружения нашей командой по борьбе с мошенничеством при анализе поведения расширений из Chrome Web Store, поскольку наш браузер, помимо прочего, поддерживает установку из этого каталога.
Но все оказалось гораздо проще: на этот раз фоновое воспроизведение видео было беззвучным. Вскоре наши коллеги из отдела информационной безопасности поняли, что проблема не только не связана с нашим браузером, но и затрагивает наших коллег. Это дало нам проблемные ноутбуки для исследования, и мы, наконец, смогли детально разобраться в происходящем.
На проблемных устройствах наших коллег были установлены расширения SaveFrom. Источник их установки не имел значения для SaveFrom. В итоге выяснилось, что и расширения Frigate Light, и CDN имеют один и тот же участок кода, отвечающий за динамическую загрузку и выполнение JS-скриптов. Таким образом, расширения тянули потенциально вредоносный код в фоновом режиме.
Это решение позволяет изменить адрес C&C без необходимости обновлять расширение, если с ним что-то пошло не так. На момент нашего анализа C&C был gatpsstat. При первом запросе он устанавливает cookie, содержащий uuid пользователя. Ответ сервера декодируется и передается в функцию отладки, которая, по сути, является функцией eval для выполнения JS-кода", - говорится в отчете. Этот JS-код мог быть чем угодно, в любой момент времени, каким бы вредоносным он ни был.
Скрытое воспроизведение видео могло быть лишь одним из многих возможных симптомов, признают эксперты. Мы также обнаружили, что сомнительная активность прекращалась, если пользователь переходил на страницу поддержки Яндекс. Браузер" или на страницу, помогающую анализировать трафик.
В итоге был сделан вывод, что расширения получали задания от собственного управляющего сервера и генерировали мусорный трафик, проигрывая видео в скрытых вкладках, а также могли перехватывать oAuth-токены "ВКонтакте", хотя неясно, использовался ли этот механизм на самом деле.
Схема срабатывала только тогда, когда браузер был активен, а код включал защиту от обнаружения, в том числе обфускацию и сжатие.
В браузере уже установлены копии расширений SaveFrom. Пользователи этих расширений получат уведомление о причинах их деактивации. После этого они смогут принять осознанное решение и при необходимости снова включить их, хотя мы настоятельно рекомендуем этого не делать. Кроме того, мы поделились результатами нашего технического анализа с коллегами из "Лаборатории Касперского" и Google.
"Лаборатория Касперского" уже подтвердила наличие потенциально вредоносного элемента в расширениях, и теперь их продукты обнаруживают эту угрозу и блокируют соответствующие URL и фрагменты скриптов", -
резюмируют аналитики "Яндекса".
Меня это не беспокоит.
Извините, я удалил эту фразу
Ну вообще-то, многое из того, что Вы пишете не совсем так… Ну да ладно,не важно :)
Ого, неплохое количество посетителей читают блог.
просто афигенно!!!!))