«Вирус» в браузере: как «Яндекс» отключил расширения Savefrom и Frigate за скрытую рекламу и перехват доступа к соцсетям
Популярные расширения скрытно запускали рекламу, накручивали просмотры онлайн-кинотеатрам и могли получить доступ к соцсетям.
«Яндекс» отключил для пользователей «Яндекс.Браузера» расширения Savefrom.net, Frigate и несколько других. Совокупная аудитория проектов превышает восемь миллионов пользователей, но они тайно воспроизводили видео и могли перехватывать авторизацию в соцсетях. Сотрудники «Яндекса» провели расследование и рассказали о нём в блоге на «Хабре».
Как компания узнала о проблеме
На расширения обратили внимание после жалоб пользователей — они начали сообщать о странных звуках, похожих на рекламу, но при этом не видели самих видео. Разработчики «Яндекса» решили, что видео проигрывается в другой вкладке или за пределами видимости экрана, но эта гипотеза не подтвердилась, поэтому у пользователей начали выяснять подробности.
Оказалось, что всех пострадавших объединяло одно и то же — установленное расширение от сервиса SaveFrom.net, который позволяет скачивать ролики или музыку из соцсетей «в один клик». При отключении расширения пропадал и шум, поэтому в «Яндексе» связались с разработчиками инструмента. Те предположили, что дело в «ошибках конвертера», внесли исправления, и жалобы прекратились.
В ноябре 2020 года «Яндекс» получил сигнал, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. При этом пользователи не видели самих роликов, потому что они проигрывались в фоне, но видео потребляли трафик и занимали ресурсы компьютеров.
Команда антифрода «Яндекса» заподозрила, что с этим могут столкнуться и пользователи «Яндекс.Браузера». Вскоре догадку подтвердили в Службе информационной безопасности компании: оказалось, что проблема затрагивает не только пользователей, но и самих сотрудников «Яндекса».
Так специалисты получили прямой доступ к устройствам с вредоносными расширениями и смогли детально разобраться в происходящем. На всех ноутбуках было установлено одно из трёх расширений — SaveFrom.net, Frigate Light или Frigate CDN. В «Яндексе» изучили код каждого инструмента и выяснили, как именно они могут скрытно запускать видео и перехватывать сессии пользователей из соцсетей.
Как были устроены расширения
Все расширения из семейства Frigate содержали один и тот же код для динамической подгрузки и исполнения JS-скриптов. При этом сама функциональность была спрятана в коде под видом безобидных строчек — это запрещено в Chrome Web Store, через который в том числе можно скачать Frigate.
«Яндекс» и «Лаборатория Касперского» отключили расширения SaveFrom.net, Frigate Light и Frigate CDN
Рекомендуем почитать:
Xakep #296. Вирусы против Windows
- Содержание выпуска
- Подписка на «Хакер» -60%
Вчера специалисты компаний «Яндекс» и «Лаборатория Касперского» сообщили, что нашли потенциально вредоносный код в популярных браузерных расширениях. В итоге были отключены SaveFrom.net, Frigate Light, Frigate CDN и ряд других расширений (в общей сложности более 20), чья суммарная аудитория превышала 8 000 000 человек.
Инженеры «Яндекса» рассказали, что некоторое время назад им стали поступать жалобы пользователей на некий странный звук, который можно было принять за голосовую рекламу, хотя в браузере не было открыто ничего подозрительного.
Как оказалось, у всех пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net, и его отключение действительно отключало и странные фоновые звуки. Представители «Яндекса» связались с разработчиками расширения, и те высказали предположение, что это ошибки конвертера, и внесли исправления. После этого обновления расширения жалобы на звук прекратились.
Однако в ноябре текущего года антифрод-команда «Яндекса» заподозрила неладное. Специалисты получили сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи на самом деле не видели видео, потому что оно воспроизводилось на фоне. Тем не менее, это приводило к существенному потреблению трафика и перегружало работой вычислительные ресурсы компьютера, и такое поведение никак нельзя было назвать добросовестным.
«На посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).
Но все оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.
На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store)», — рассказывают специалисты в блоге компании.
В итоге оказалось, что оба расширения семейства Frigate (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Таким способом расширения в фоне подтягивали потенциально вредоносный код.
«Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода», — гласит отчет.
Интересно, что все расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени мог быть любым, сколь угодно опасным. Скрытое воспроизведение видео могло быть лишь одним из множества возможных симптомов, признают эксперты.
Также обнаружилось, что сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика.
В конечном итоге специалисты пришли к выводу, что расширения получали задания от собственного управляющего сервера и генерировали фрод-трафик, проигрывая видео в скрытых вкладках, а также имели возможность перехватывать токены oAuth-токены «Вконтакте» (правда неясно, использовался ли данный механизм на практике). Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения, включая обфускацию и сжатия.
«Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов», — резюмируют аналитики «Яндекса».
Яндекс.Браузер отключил расширения SaveFrom, Frigate Light, Frigate CDN из-за потенциально опасной активности
В таких популярных расширениях как SaveFrom.net, Frigate Light и Frigate CDN, насчитывающих аудиторию пользователей свыше 8 млн, обнаружена потенциально опасная деятельность. Разработчики Яндекс.Браузера отключили перечисленные расширения
Эксперты из компаний «Яндекс» и «Лаборатория Касперского» обнаружили потенциально опасную деятельность в расширениях SaveFrom.net, Frigate Light и Frigate CDN и других – было выявлено более двадцати опасных расширений. Источник установки расширений значения не имел.
Поводом для начала исследований расширений стали многочисленные жалобы со стороны пользователей Яндекс.Браузера.
В ходе исследования было обнаружено, что популярное расширение для загрузки видео – SaveFrom.net воспроизводило фоновую аудиорекламу, при этом открытых вкладок с аудиорекламой не было. После запроса к разработчику расширения, данная проблема была исправлена.
Спустя некоторое время и входе дальнейшего исследования было обнаружено, что некоторые расширения значительно потребляют сетевой трафик и ресурсы компьютера. Экспертами было установлено, что расширения, в том числе SaveFrom.net, Frigate Light и Frigate CDN, в фоновом режиме, тайно, воспроизводили видео из онлайн-кинотеатров для накрутки просмотров. При этом постороннего звука не было.
По сообщению специалистов, перечисленные расширения так же имели функцию перехвата oAuth-токенов «ВКонтакте».
Стоит отметить, что потенциально опасная деятельность расширений прекращалась при открытии адреса технической поддержки Яндекс.Браузера или при открытии служебной страницы для анализа трафика.
Результат анализа работы данных расширений передан в компанию «Google», «ВКонтакте» и разработчикам популярных браузеров.
«Лаборатория Касперского» подтвердила потенциально опасную деятельность расширений, теперь антивирусные продукты компании обнаруживают угрозу, при использовании данных расширений, и блокируют URL-адреса и фрагменты скриптов.
Несмотря на отключение опасных расширений, пользователи могут их снова включить, но компания не рекомендует этого делать.
Список id отключенных расширений
acdfdofofabmipgcolilkfhnpoclgpdd oobppndjaabcidladjeehddkgkccfcpn aonedlchkbicmhepimiahfalheedjgbh aoeacblfmdamdejeiaepojbhohhkmkjh eoeoincjhpflnpdaiemgbboknhkblome onbkopaoemachfglhlpomhbpofepfpom inlgdellfblpplcogjfedlhjnpgafnia ejfajpmpabphhkcacijnhggimhelopfg pgjndpcilbcanlnhhjmhjalilcmoicjc napifgkjbjeodgmfjmgncljmnmdefpbf glgemekgfjppocilabhlcbngobillcgf klmjcelobglnhnbfpmlbgnoeippfhhil ldbfffpdfgghehkkckifnjhoncdgjkib mbacbcfdfaapbcnlnbmciiaakomhkbkb mdnmhbnbebabimcjggckeoibchhckemm lfedlgnabjompjngkpddclhgcmeklana mdpljndcmbeikfnlflcggaipgnhiedbl npdpplbicnmpoigidfdjadamgfkilaak ibehiiilehaakkhkigckfjfknboalpbe lalpacfpfnobgdkbbpggecolckiffhoi hdbipekpdpggjaipompnomhccfemaljm gfjocjagfinihkkaahliainflifnlnfc ickfamnaffmfjgecbbnhecdnmjknblic bmcnncbmipphlkdmgfbipbanmmfdamkd miejmllodobdobgjbeonandkjhnhpjbn
Два способа удалить расширение из Яндекс Браузера
Установка дополнительных расширений может значительно увеличить функционал браузера. Но не переусердствуйте, их большое количество снизит работоспособность системы и приведет к медленной работе обозревателя. Если вы столкнулись с подобной проблемой, поможет отключение или полное удаление ненужных расширений.
Содержание [Показать]
- Отключение плагинов
- Стандартный способ удаления
- Удаление встроенных расширений
Как отключить расширение в Яндекс Браузере
Не торопитесь удалять все подряд, посмотрите список установленных дополнений, определите наименее используемые и отключите их. Сделать это можно в специальной категории браузера.
1. Откройте Яндекс Браузер, перейдите в раздел «Дополнения».
2. Появился список рекомендованных компанией Yandex расширений. Пролистайте страницу до пункта «Из других источников», в нем отображаются расширения, установленные пользователем.
3. Переключите ползунок в положение «Выкл.», чтобы деактивировать плагин.
После этой операции, расширение пропадет из панели задач (под адресной строкой браузера) и перестанет использовать ресурсы компьютера. Файлы останутся на диске, обычно не более 100kB, и вы сможете включить его, без повторной установки.
Стандартный способ удаления
Удалить расширение можно двумя способами – из панели надстроек и через раздел «Дополнения».
1. Откройте новую вкладку обозревателя, в правом верхнем углу найдите соответствующий значок.
2. Кликните по нему правой кнопкой мыши. В выпадающем меню нажмите «Удалить».
Все файлы расширения будут стерты с ПК, а его иконка пропадет из браузера.
Если данная операция не помогла или значок вовсе отсутствует, откройте «Дополнения» и наведите курсор на расширение, от которого хотите избавиться. Справа от кнопки включения/выключения, появится надпись – «Удалить».
Удаление встроенных расширений
Как упоминалось выше, помимо плагинов, устанавливаемых непосредственно пользователем, в Яндекс Браузере отображается список рекомендованных к установке. Важно понимать – это всего лишь список рекомендаций, их непосредственное скачивание и установка происходит после перетаскивания ползунка в положение «Вкл.».
Удалить такое расширение стандартным способом – не получится, его можно только отключить. Но мы то с вами всё можем, правда?
1. Откройте проводник Windows и во вкладке «Вид», включите отображение скрытых элементов.
2. Все расширения хранятся в профиле пользователя, папка создается автоматически Яндекс Браузером. Открыть её можно перейдя по пути – «C:\Users\Имя_пользователя\AppData\Local\Yandex\YandexBrowser\User Data\Default\Extensions». Для каждого плагина формируется отдельная папка.
3. Определить где лежит необходимое расширение, просто. В каждой директории находится папка «images» (название может отличаться), содержащая логотип расширения. Поочередно сравнивайте картинки из папок с логотипом, в случае успеха – удалите папку целиком.
Закончив все операции, не забудьте подчистить кэш в Я.Браузере, чтобы избавиться от следов активности удаленных расширений.