«Вирус» в браузере: как «Яндекс» отключил расширения Savefrom и Frigate за скрытую рекламу и перехват доступа к соцсетям
Популярные расширения скрытно запускали рекламу, накручивали просмотры онлайн-кинотеатрам и могли получить доступ к соцсетям.
«Яндекс» отключил для пользователей «Яндекс.Браузера» расширения Savefrom.net, Frigate и несколько других. Совокупная аудитория проектов превышает восемь миллионов пользователей, но они тайно воспроизводили видео и могли перехватывать авторизацию в соцсетях. Сотрудники «Яндекса» провели расследование и рассказали о нём в блоге на «Хабре».
Как компания узнала о проблеме
На расширения обратили внимание после жалоб пользователей — они начали сообщать о странных звуках, похожих на рекламу, но при этом не видели самих видео. Разработчики «Яндекса» решили, что видео проигрывается в другой вкладке или за пределами видимости экрана, но эта гипотеза не подтвердилась, поэтому у пользователей начали выяснять подробности.
Оказалось, что всех пострадавших объединяло одно и то же — установленное расширение от сервиса SaveFrom.net, который позволяет скачивать ролики или музыку из соцсетей «в один клик». При отключении расширения пропадал и шум, поэтому в «Яндексе» связались с разработчиками инструмента. Те предположили, что дело в «ошибках конвертера», внесли исправления, и жалобы прекратились.
В ноябре 2020 года «Яндекс» получил сигнал, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. При этом пользователи не видели самих роликов, потому что они проигрывались в фоне, но видео потребляли трафик и занимали ресурсы компьютеров.
Команда антифрода «Яндекса» заподозрила, что с этим могут столкнуться и пользователи «Яндекс.Браузера». Вскоре догадку подтвердили в Службе информационной безопасности компании: оказалось, что проблема затрагивает не только пользователей, но и самих сотрудников «Яндекса».
Так специалисты получили прямой доступ к устройствам с вредоносными расширениями и смогли детально разобраться в происходящем. На всех ноутбуках было установлено одно из трёх расширений — SaveFrom.net, Frigate Light или Frigate CDN. В «Яндексе» изучили код каждого инструмента и выяснили, как именно они могут скрытно запускать видео и перехватывать сессии пользователей из соцсетей.
Как были устроены расширения
Все расширения из семейства Frigate содержали один и тот же код для динамической подгрузки и исполнения JS-скриптов. При этом сама функциональность была спрятана в коде под видом безобидных строчек — это запрещено в Chrome Web Store, через который в том числе можно скачать Frigate.
Как удалить frigate из яндекс
Будь в курсе последних новостей из мира гаджетов и технологий
iGuides для смартфонов Apple
Удалите браузерные расширения SaveFrom.net и Frigate — они очень опасны
Александр Кузнецов — 24 декабря 2020, 15:20
Команда «Яндекса» убрала из «Яндекс.Браузера» поддержку расширений SaveFrom.net, Frigate Light, Frigate CDN и нескольких других с суммарной аудиторией более 8 миллионов человек. Эти расширения были отключены в браузере даже у тех, кто их установил.
SaveFrom.net используется для скачивания видео с различных сайтов, а расширения Frigate предназначены для доступа к сайтам, заблокированным в России.
Как выяснилось, в расширениях SaveFrom.net и Frigate содержится скрипт, который запускает вредоносный код по команде от удалённого сервера. Команды могут меняться — одна из них, к примеру, используется для накрутки просмотров видео на различных сервисах. Видео воспроизводится фоном без изображения и звука, из-за чего пользователь не замечает ничего, кроме возросшей нагрузки на системные ресурсы компьютера и увеличенный расход трафика.
Вредоносный скрипт в расширениях также способен тайно перехватывать токены от соцсети «ВКонтакте», что в теории позволяет осуществлять взлом аккаунтов.
«Яндекс.Браузер» совместим с раcширениями, выложенными в Chrome Web Store. Этот магазин также служит источником расширений для некоторых других браузеров на базе Chromium, включая Chrome. Расширения SaveFrom.net и Frigate также доступны для Opera, Firefox, Safari и Edge.
Отзывы о Frigate из Chrome Web Store:
«Лаборатория Касперского» подтвердила «Яндексу» наличие вредоносной составляющей в указанных расширениях, теперь продукты компании определяют их как угрозу и блокируют связанные с ними URL-адреса и фрагменты скриптов.
В настоящее время только «Яндекс» принял меры по отключению вредоносных расширений из своего браузера. В «Яндекс.Браузер» их невозможно установить, а в остальных браузерах они не отключены и по-прежнему могут работать.
Если в вашем браузере установлены расширения SaveFrom.net и Frigate, рекомендуется отключить их, а лучше — полностью удалить.
Не могу убить Yandex.Sovetnik
Система может получать Yandex.Sovetnik при обновлении одной из установленных программ.
Программа обновляется. и вы получаете советник.
в сети должна быть информация в состав каких программ ( или расширений ) он входит.
Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html
Изменено: RP55 RP55 — 15.10.2020 02:24:47
Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 02:29:21
| Цитата |
|---|
| RP55 RP55 написал: Система может получать Yandex.Sovetnik при обновлении одной из установленных программ. Программа обновляется. и вы получаете советник. С сети должна быть информация в состав каких программ он входит. Прочтите, что они сами пишут: https://browser.yandex.ru/help/recommendation/sovetnik.html |
Спасибо, но у меня никогда не было явно работающего оригинального советника. и, в принципе, уже удалены все расширения из Chrome
Пользователь
Баллов: 4988
Регистрация: 25.05.2010
Размещено 15.10.2020 12:15:26
В uVS выполните.
Дополнительно > Очистить корзину, удалить временные файлы. Alt+Del
+
Далее лог в FRST: http://forum.esetnod32.ru/forum9/topic2798/
Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 14:14:42
Все выполнил.
Пароль к архиву отправил личным сообщением.
Пользователь
Регистрация: 15.10.2020
Размещено 15.10.2020 14:16:02
Прикрепленные файлы
- FRST_201015.zip (32.24 КБ)
Пользователь
Баллов: 4988
Регистрация: 25.05.2010
Размещено 15.10.2020 16:39:42
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
.
Запустите FRST и нажмите один раз на кнопку Fix и подождите.
ContextMenuHandlers1: [ FileSyncEx] -> => -> No File ContextMenuHandlers1: [BriefcaseMenu] -> => -> No File ContextMenuHandlers3: [] -> => -> No File ContextMenuHandlers4: [ FileSyncEx] -> => -> No File ContextMenuHandlers5: [igfxcui] -> => -> No File ContextMenuHandlers6: [BriefcaseMenu] -> => -> No File SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> DefaultScope URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1001 -> URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> DefaultScope URL = hxxps://yandex.ru/search/?text=&clid=2233627 SearchScopes: HKU\S-1-5-21-1587541629-1866207419-1342301571-1004 -> URL = hxxps://yandex.ru/search/?text=&clid=2233627 FirewallRules: [] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File FirewallRules: [] => (Allow) C:\Users\Sergey\AppData\Roaming\Zoom\bin\airhost.exe => No File HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction "hxxps://www.google.ru/search?newwindow=1&ei=KLrzXvrkMqLCmwWbiovwDg&q=cureit+download&oq=%D1%81%D0%B3%D0%BA%D1%83%D1%88%D0%B5&gs_lcp=CgZwc3ktYWIQAxgBMgYIABAKECoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAoyBAgAEAo6AggAOgYIABAKEB46CAgAEAUQChAeUIATWI0jYIUzaABwAHgAgAFSiAGjA5IBATeYAQCgAQGqAQdnd3Mtd2l6&sclient=psy-ab","hxxps://z-oleg.com/secur/avz/download.php","hxxps://www.google.com/search?q=sdfsfsdfas&oq=sdfsfsdfas&aqs=chrome..69i57j0l6.747j0j7&sourceid=chrome&ie=UTF-8","edge://newtab/" EmptyTemp: Reboot:
Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
Проверяем, как работает система.
и
Пишем по _общему результату лечения.
Яндекс.Браузер отключил расширения SaveFrom, Frigate Light, Frigate CDN из-за потенциально опасной активности
В таких популярных расширениях как SaveFrom.net, Frigate Light и Frigate CDN, насчитывающих аудиторию пользователей свыше 8 млн, обнаружена потенциально опасная деятельность. Разработчики Яндекс.Браузера отключили перечисленные расширения
Эксперты из компаний «Яндекс» и «Лаборатория Касперского» обнаружили потенциально опасную деятельность в расширениях SaveFrom.net, Frigate Light и Frigate CDN и других – было выявлено более двадцати опасных расширений. Источник установки расширений значения не имел.
Поводом для начала исследований расширений стали многочисленные жалобы со стороны пользователей Яндекс.Браузера.
В ходе исследования было обнаружено, что популярное расширение для загрузки видео – SaveFrom.net воспроизводило фоновую аудиорекламу, при этом открытых вкладок с аудиорекламой не было. После запроса к разработчику расширения, данная проблема была исправлена.
Спустя некоторое время и входе дальнейшего исследования было обнаружено, что некоторые расширения значительно потребляют сетевой трафик и ресурсы компьютера. Экспертами было установлено, что расширения, в том числе SaveFrom.net, Frigate Light и Frigate CDN, в фоновом режиме, тайно, воспроизводили видео из онлайн-кинотеатров для накрутки просмотров. При этом постороннего звука не было.
По сообщению специалистов, перечисленные расширения так же имели функцию перехвата oAuth-токенов «ВКонтакте».
Стоит отметить, что потенциально опасная деятельность расширений прекращалась при открытии адреса технической поддержки Яндекс.Браузера или при открытии служебной страницы для анализа трафика.
Результат анализа работы данных расширений передан в компанию «Google», «ВКонтакте» и разработчикам популярных браузеров.
«Лаборатория Касперского» подтвердила потенциально опасную деятельность расширений, теперь антивирусные продукты компании обнаруживают угрозу, при использовании данных расширений, и блокируют URL-адреса и фрагменты скриптов.
Несмотря на отключение опасных расширений, пользователи могут их снова включить, но компания не рекомендует этого делать.
Список id отключенных расширений
acdfdofofabmipgcolilkfhnpoclgpdd oobppndjaabcidladjeehddkgkccfcpn aonedlchkbicmhepimiahfalheedjgbh aoeacblfmdamdejeiaepojbhohhkmkjh eoeoincjhpflnpdaiemgbboknhkblome onbkopaoemachfglhlpomhbpofepfpom inlgdellfblpplcogjfedlhjnpgafnia ejfajpmpabphhkcacijnhggimhelopfg pgjndpcilbcanlnhhjmhjalilcmoicjc napifgkjbjeodgmfjmgncljmnmdefpbf glgemekgfjppocilabhlcbngobillcgf klmjcelobglnhnbfpmlbgnoeippfhhil ldbfffpdfgghehkkckifnjhoncdgjkib mbacbcfdfaapbcnlnbmciiaakomhkbkb mdnmhbnbebabimcjggckeoibchhckemm lfedlgnabjompjngkpddclhgcmeklana mdpljndcmbeikfnlflcggaipgnhiedbl npdpplbicnmpoigidfdjadamgfkilaak ibehiiilehaakkhkigckfjfknboalpbe lalpacfpfnobgdkbbpggecolckiffhoi hdbipekpdpggjaipompnomhccfemaljm gfjocjagfinihkkaahliainflifnlnfc ickfamnaffmfjgecbbnhecdnmjknblic bmcnncbmipphlkdmgfbipbanmmfdamkd miejmllodobdobgjbeonandkjhnhpjbn