VPN-сервис friGate CDN был признан вредоносным Лабораторией Касперского и Яндексом

Данное расширение, а так же несколько других, были замечены за неправомерным использованием браузеров пользователей для прокрутки рекламы в фоновом режиме.

Отреагировав на жалобы пользователей Яндекс.Браузера на то, что время от времени в браузере начали самовоспроизводиться звуковые дорожки рекламы из неизвестного источника (не было открыто вкладки, которая могла бы быть источником звука, при том, что микшер Windows, показывал, что звук исходит именно из браузера), исследователи Яндекса провели расследование, которое установило, что это происходит именно из-за расширений friGate и Savefrom.

После того, как Яндекс связался с разработчиками, звук воспроизводиться перестал, однако, через некоторое время команда антифрода Яндекса обнаружила, что с определёнными расширениями Яндекс.Браузер начинает значительно нагружать сеть пользователей, а так же потреблять большое количество вычислительных ресурсов компьютера. Источником проблем опять оказался friGate.

Технически, для пользователя, эти расширения вели себя как майнер криптовалюты, только загрузка компьютера происходила через воспроизведение десятков рекламных видео с выключенной звуковой дорожкой.

После разбора исходного когда расширений было ображено, что все в коде они оба имеют строку «x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)», после которой стоит метод, ответственный за обработку JS-кода, который приходит из одинаковых командных серверов для обоих расширений, а именно, с gatpsstat.com.

Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов.

Результатом расследования было выявлено, что при открытии пользователем некоторых сайтов происходит временное прекращение сомнительной активности, например, адреса поддержки Яндекс.Браузера, техподдержки браузера Opera или служебной страницы для анализа трафика.

Лаборатория Касперского, после обращения со стороны Яндекса, так же выявила вредоносную активность этих расширений.

На данный момент, в Яндекс.Браузере расширения были временно отключены, однако, при желании, пользователи могут включить их в разделе «дополнения», на свой страх и риск.

Далее по ссылке вас ждёт детальный разбор кода расширений:

140140
190 комментариев

Дополнение к посту, лично у меня, до отключения фригата, постоянно браузер грузил цп компьютера до ~20%, сейчас не больше 5%. Кроме того, постоянно происходила блокировка чего-то неизвестного адблоком, которая пропала, как только мне прислали уведомление об отключении фригата и сейвфрома...

2
Ответить

VPN-сервис friGate CDN был признан вредоноснымЯндекс.БраузерЯндекс.БраузерЯндекс.БраузерЯндекс.Браузерхм...

89
Ответить

Я когда с компов сношу яндекс браузер с алисой, они резко летать начинают.

16
Ответить