В браузерных расширениях SaveFrom.net и Frigate обнаружили вредоносный код

В расширениях SaveFrom.net и Frigate обнаружили вредоносный код

В браузерных расширениях SaveFrom.net и Frigate обнаружили вредоносный код / Michael Geiger / unsplash

Расширение для браузеров с суммарной аудиторией более 8 миллионов пользователей SaveFrom.net и Frigate используются для загрузки видео- и аудиофайлов из социальных сетей и доступа к заблокированным сайтам соответственно. Недавно у них обнаружили вредоносный код. Специалисты советуют удалить расширение.

В расширениях SaveFrom.net и Frigate содержится скрипт, который запускает вредоносный код по команде с удаленного сервера. Он используется, в частности, для накрутки просмотров видео на различных сервисах. Видео воспроизводится в фоне без изображения и звука, поэтому пользователь не замечает ничего, кроме возросшей нагрузки на системные ресурсы компьютера и роста затрат трафика, сообщает 24 канал. Вредоносный скрипт в расширениях также способен осуществлять взлом аккаунтов в социальных сетях.

Интересно Сенсорная панель вместо физической клавиатуры: Apple придумала новый концепт ноутбука

Что известно

Расширение SaveFrom.net и Frigate доступны для браузеров на базе Chromium, а также для Firefox и Safari.

Специалисты, обнаружившие код, рассказали, что некоторое время назад им стали поступать жалобы от пользователей на странный звук, похожий на голосовую рекламу, хотя в браузере не было открыто ничего, что могло бы ее воспроизводить.

Как оказалось, у всех пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net. Его отключение выключало и странные фоновые звуки. Программисты связались с разработчиками расширения, и те высказали предположение, что это ошибки конвертера, и якобы внесли исправления. После этого жалобы на звук прекратились.

Однако в ноябре специалисты получили сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи на самом деле не видели видео, потому что оно воспроизводилось в фоне. Тем не менее, это приводило к существенному потреблению трафика и перегружало ресурсы компьютера.

Скрипты запускали видео в фоне, нагружая компьютеры / Фото xakep

В итоге оказалось, что оба расширения семейства Frigate (Light и CDN) имеют одинаковые участки кода, который отвечает за динамическую загрузку и выполнение JS-скриптов. Таким способом расширения в фоне подтягивали потенциально вредоносный код.

В итоге специалисты пришли к выводу, что расширения получали задания от управляющего сервера и генерировали трафик, воспроизводя видео в скрытых вкладках. Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения.