Эксперты «Лаборатории Касперского» и Яндекса обнаружили масштабную потенциально вредоносную кампанию, использующую более двадцати расширений браузеров, в том числе популярные Frigate Light, Frigate CDN и SaveFrom.
Если человек пользовался браузером с такими расширениями, злоумышленники могли получить доступ к его аккаунту в одной из популярных соцсетей (ВКонтакте), а также накручивать просмотры видеороликов, включая рекламные, на различных площадках. Всё это происходило незаметно для пользователя.
Расширения в фоновом режиме запускали потенциально вредоносный код. Они получали задания от собственного сервера и генерировали фрод-трафик, проигрывая видео в скрытых вкладках, а также перехватывали токен для доступа к популярной социальной сети. Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения. В результате пользователи могли столкнуться с замедлением работы устройства и компрометацией аккаунтов.
Яндекс обнаружил скрытый поток трафика и отключил расширения в Яндекс.Браузере. Результаты совместного расследования уже переданы разработчикам социальной сети и наиболее популярных браузеров, чтобы помочь им предотвратить подобные атаки в будущем.
Как отметил Сергей Голованов, ведущий эксперт «Лаборатории Касперского», потенциальными жертвами этой схемы могут быть более миллиона пользователей.
хоть бы кто опубликовал список всех расширений, а то через поиск только эти находятся:
Frigate - Оба расширения из этого семейства (Light и CDN)
SaveFrom
RadioGaGa
VDP: Best Video Downloader
Y2Mate — Video Downloader
Помощник(понятия не имею что за помощник, но он был в одном перечне)
Кроме Frigate и SaveFrom ещё вирусными стали считаться VDP: Best Video Downloader и Y2Mate — Video Downloader, JSON Viewer Awesome. В версии SaveFrom для FireFox предположительно вирусная часть отсутствует.
Лечится их удалением\отключением расширения в браузере. (Переустановить браузер, к слову, не поможет, хотя антивирус ссылается именно на файл браузера как заражённый.)
Вирус Касперский обозвал как HEUR:Trojan.Multi.Preqw.gen можете нагуглить про него больше, чем в новости.
Стоит KES11. На SaveFrom.net в Опере ни слова не говорит.
Специально только что им воспользовался и скачал пару фоток из ВК - ноль эмоций. На ютубе тоже всё тихо.
Видимо у Оперы как и у FireFox версии "не обновили". Но лично на Гугл он у меня не затыкался и слал по 2-3 сообщения в минуту.
А я всё думал,что КИС сбесился сегодня с самого утра,вот оказывается в чём дело)
Прощай SaveFrom. Я теперь понял почему в яндекс поиске постоянно висела табличка, что комп может быть заражен
Для борьбы с пиратством решили прикрыть эти расширения, не иначе.
удивительно, что это обнаружили только каспер и яндекс, а все другие десятки антивирей и компаний не обнаружили и никак не отреагировали на этот вброс