У браузерних розширеннях SaveFrom.net і Frigate виявили шкідливий код

У розширеннях SaveFrom.net і Frigate виявили шкідливий код

У браузерних розширеннях SaveFrom.net і Frigate виявили шкідливий код / Michael Geiger / unsplash

Розширення для браузерів з сумарною аудиторією понад 8 мільйонів користувачів SaveFrom.net і Frigate використовуються для завантаження відео- та аудіофайлів з соціальних мереж і доступу до заблокованих сайтів відповідно. Нещодавно у них виявили шкідливий код. Спеціалісти радять видалити розширення.

В розширеннях SaveFrom.net і Frigate міститься скрипт, який запускає шкідливий код по команді з віддаленого сервера. Він використовується, зокрема, для накрутки переглядів відео на різних сервісах. Відео відтворюється у фоні без зображення і звуку, тому користувач не помічає нічого, крім збільшеного навантаження на системні ресурси комп'ютера і росту витрат трафіку, повідомляє 24 канал. Шкідливий скрипт в розширеннях також здатний здійснювати злом акаунтів у соціальних мережах.

Цікаво Сенсорна панель замість фізичної клавіатури: Apple вигадала новий концепт ноутбука

Що відомо

Розширення SaveFrom.net і Frigate доступні для браузерів на базі Chromium, а також для Firefox та Safari.

Спеціалісти, які виявили код, розповіли, що деякий час тому їм стали надходити скарги від користувачів на дивний звук, схожий на голосову рекламу, хоча в браузері не було відкрито нічого, що могло би її відтворювати.

Як виявилося, в усіх постраждалих було встановлено розширення для завантаження відео від сервісу SaveFrom.net. Його відключення вимикало і дивні фонові звуки. Програмісти зв'язалися з розробниками розширення, і ті висловили припущення, що це помилки конвертера, і нібито внесли виправлення. Після цього скарги на звук припинилися.

Однак у листопаді фахівці отримали сигнал про те, що хтось використовує аудиторію популярних браузерів для накрутки переглядів відео в онлайн-кінотеатрах. Користувачі насправді не бачили відео, тому що воно відтворювалося у фоні. Проте, це призводило до істотного споживання трафіку і перевантажувало ресурси комп'ютера.

Скрипти запускали відео у фоні, навантажуючи комп'ютери / Фото xakep

У підсумку виявилося, що обидва розширення сімейства Frigate (Light і CDN) мають однакові ділянки коду, який відповідає за динамічне завантаження і виконання JS-скриптів. Таким способом розширення в тлі підтягували потенційно шкідливий код.

У підсумку фахівці прийшли до висновку, що розширення отримували завдання від керуючого сервера і генерували трафік, відтворюючи відео в прихованих вкладках. Схема запускалася тільки в разі активного використання браузера, при цьому код включав у себе захист від виявлення.