На проблемных устройствах были установлены расширения SaveFrom, Frigate Light или Frigate CDN. Источник их установки значения не имел.
Одинаковая часть для всех расширений - обработчик /ext/stat
Все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час
Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным
Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто.
Краткий пересказ того, что делают расширения
Расширения запрашивают с сервера конфиг, в котором содержится адрес другого, командного сервера с обработчиком /ext/stat .
Обработчик /ext/stat присваивает уникальный uuid пользователю.
Каждый час расширения совершают запрос на адрес /ext/stat и исполняют код, полученный в ответе.
Скрипт с /ext/stat совершает запрос на /ext/up, получает сжатый основной код для выполнения cкрипта.
Выполнение скрипта с /ext/up может активировать функциональность перехвата access_token'ов ВКонтакте при их получении пользователем. Перехваченные токены могут отправляться на /ext/data.
Скрипт с /ext/up получает список заданий с /ext/def. Запрос и ответ шифруются на ключе, переданном в параметре hk.
Видео с рекламой воспроизводится в браузере в тайне от пользователя.
Отправляется отчёт на /ext/beacon.
Это то, как выглядит работа расширений, если смотреть на их код и трафик.
Frigate
Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. ...
Этот код совершает запрос по адресу fri-gate _.org/ config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat _.com.
SaveFrom
получение адреса командного сервера [происходит] с sf-helper _.com/ static/ ffmpegSignature. В нашем случае это опять gatpsstat _.com. Вот это совпадение!
Другие расширения
RadioGaGa
Synctab - window & tab manager
VDP: Best Video Downloader
Y2Mate — Video Downloader
Автоматическое применение купонов
Помощник (от supermegabest_com)
Принятые Яндексом меры
- в Яндекс.Браузере отключены уже установленные копии расширений SaveFrom_net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя настоятельно рекомендуется так не поступать).
- результаты технического анализа переданы в «Лабораторию Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов
- специалистов по компьютерной безопасности призывают подключиться к поиску других расширений, которые могут представлять такую же угрозу - и сообщить через форму обратной связи яндекс.браузера
