Популярные браузерные приложения оказались вирусом.

mychatik

Support
Команда форума
Регистрация
26.05.15
Сообщения
533
Реакции
466
Баллы
63
В этом месяце были отключены расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие.
Совокупная аудитория этих инструментов превышает 8 млн человек.
Эти расширения были удалены из магазинов приложений и отключены в браузере даже у тех, кто их установил. А до этого их начали удалять антивирусы.

SaveFrom.net используется для скачивания видео с различных сайтов, а расширения Frigate предназначены для доступа к сайтам, заблокированным в России и Украине.

Как выяснилось, в расширениях SaveFrom.net и Frigate содержится скрипт, который запускает вредоносный код по команде от удалённого сервера. Команды могут меняться — одна из них, к примеру, используется для накрутки просмотров видео на различных сервисах. Видео воспроизводится фоном без изображения и звука, из-за чего пользователь не замечает ничего, кроме возросшей нагрузки на системные ресурсы компьютера и увеличенный расход трафика.
Вредоносный скрипт в расширениях также способен тайно перехватывать токены от соцсети «ВКонтакте», что в теории позволяет осуществлять взлом аккаунтов.

Вкратце о том, что "нехорошо" делают расширения:

  1. Расширения запрашивают с сервера конфиг, в котором содержится адрес другого, командного сервера с обработчиком /ext/stat .
  2. Обработчик /ext/stat присваивает уникальный uuid пользователю.
  3. Каждый час расширения совершают запрос на адрес /ext/stat и исполняют код, полученный в ответе.
  4. Скрипт с /ext/stat совершает запрос на /ext/up, получает сжатый основной код для выполнения cкрипта.
  5. Выполнение скрипта с /ext/up может активировать функциональность перехвата access_token'ов ВКонтакте при их получении пользователем. Перехваченные токены могут отправляться на /ext/data.
  6. Скрипт с /ext/up получает список заданий с /ext/def. Запрос и ответ шифруются на ключе, переданном в параметре hk.
  7. Видео с рекламой воспроизводится в браузере втайне от пользователя.
  8. Отправляется отчёт на /ext/beacon.
Подробнее: https://habr.com/ru/company/yandex/blog/534586/
 
Сверху Снизу