Frigate содержит вредоносное по что делать
Более миллиона пользователей могут быть жертвами 20 популярных расширений браузеров с вредоносным кодом
Яндекс уже отключил поддержку Frigate Light, Frigate CDN и SaveFrom
Эксперты «Лаборатории Касперского» и Яндекса обнаружили масштабную потенциально вредоносную кампанию, использующую более двадцати расширений браузеров, в том числе популярные Frigate Light, Frigate CDN и SaveFrom.
Если человек пользовался браузером с такими расширениями, злоумышленники могли получить доступ к его аккаунту в одной из популярных соцсетей (ВКонтакте), а также накручивать просмотры видеороликов, включая рекламные, на различных площадках. Всё это происходило незаметно для пользователя.
Расширения в фоновом режиме запускали потенциально вредоносный код. Они получали задания от собственного сервера и генерировали фрод-трафик, проигрывая видео в скрытых вкладках, а также перехватывали токен для доступа к популярной социальной сети. Схема запускалась только в случае активного использования браузера, при этом код включал в себя защиту от обнаружения. В результате пользователи могли столкнуться с замедлением работы устройства и компрометацией аккаунтов.
Яндекс обнаружил скрытый поток трафика и отключил расширения в Яндекс.Браузере. Результаты совместного расследования уже переданы разработчикам социальной сети и наиболее популярных браузеров, чтобы помочь им предотвратить подобные атаки в будущем.
Как отметил Сергей Голованов, ведущий эксперт «Лаборатории Касперского», потенциальными жертвами этой схемы могут быть более миллиона пользователей.
Почему не работает плагин friGate
FriGate VPN и friGate 3 — это браузерные расширения помогающие, получать доступ к недоступным сайтам, используя при этом прокси. Однако бывает что плагины не работают и не выполняют свои функции. Чаще всего это связано с некорректной настройкой. В данном обзоре мы рассмотрим почему не работает плагин friGate, причины возникновения неисправностей, и пути их исправления.
Почему перестал работать friGate
Существует ряд основных причин, по которым перестает работать расширение frigate.
Для устранения первой причины можно просто подождать, когда сервера прокси заработают снова, а можно попытаться восстановить работоспособность самостоятельно, как и для причин связанных с неправильными настройками плагина.
Наиболее часто встречающиеся неисправности дополнения фригейт, возникающие при его использовании.
Возобновление работоспособности плагина фригейт заключается, в правильной настройке, согласно инструкции (как пользоваться frigate статья основное как добавить сайт в список и получить к нему доступ)
Что делать если friGate не работает. Как получить доступ к сайту.
Рядовой причиной, по которой пользователи считают, что friGate не работает. Является отсутствие доступа к заблокированному сайту после установки расширения.
Но нужно напомнить, что использование proxy (чтобы обойти блокировку) в плагине реализовано не для всех сайтов, а только для тех которые добавлены в список!
Поэтому вместо того чтобы бить тревогу нужно просто добавить сайт, к которому требуется получить доступ в список расширения.
Для этого нужно перейти в настройки дополнения в меню»Настройка списка сайтов»:
После чего проверить доступность сайта.
Как исправить неисправности в работе расширения. FriGate wait.
Почему frigate пишет wait и не работает, что это значит и что делать в таких случаях.
Режим ожидания расширения обозначается выводом уведомления «WAIT» (что в переводе — «ждите») обозначает режим подготовки расширения к работе. Происходит подключение плагина к прокси серверам разработчиков, для регистрации в сети. Иногда может затянуться на неопределенное время.
Чтобы исправить неисправность в работе friGate необходимо предпринять следущее:
Эти методы могут помочь, если расширение временно не работает, из-за разового сбоя. Так же существует ряд ошибок с аналогичными методами устранения но с другими симптомами.
Как быть если сайт блокируется через proxy. Защита от friGate.
Если сайт блокируется слишком хорошо от обхода, даже через обычный прокси сервер. Например на уровне провайдера. То тут понадобится необходимость включить режим анонимности в расширении, чтобы зашифровать трафик.
Но перед этим необходимо настроить свойства подключения по локальной сети.
После этого нужно открыть параметры расширения friGate включить анонимность в соответствующем блоке настроек.
Что делать если FriGate заблокирован.
Иногда браузеры блокируют установленные плагины и удаляют их из своих каталогов дополнений. Причины могут быть разные. Так например были заблокированы версии плагина фригейт. Но после исправлений разработчика снова стали доступны. И частично вернулись в каталоги.
Браузеры заблокировали frigate light и frigate cdn это расширение содержит вредоносное по.
В случае когда плагины заблокированы браузером. Можно воспользоваться их аналогами.
Напутствие
Зная симптомы проблемы, по которым не работает расширение friGate, можно определить неисправность и легко ее устранить.
В случае отсутствия возможности использования плагина фригейт, можно воспользоваться похожими дополнениями.
Чем заменить фригейт.(статья)
Не нашли то что искали? Напишите свою проблему в комментариях!
Яндекс отключил расширения с аудиторией в 8 млн пользователей. Объясняем, почему мы пошли на такой шаг
Сегодня мы приняли решение отключить расширения SaveFrom.net, Frigate Light, Frigate CDN и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек.
В этом посте мы расскажем о причинах и поделимся с сообществом результатами анализа деятельности расширений. Вы узнаете про тайное воспроизведение видео из онлайн-кинотеатров с целью накрутки просмотров. Увидите фрагмент кода, содержащий механизм для перехвата токенов социальных сетей. Мы покажем, как организована динамическая загрузка и выполнение произвольного кода без обновления расширений.
Предыстория
Некоторое время назад пользователи Яндекс.Браузера стали обращаться в поддержку с жалобами на странный звук, который можно было принять за аудиорекламу. Примеры таких жалоб:
Общение с пользователями помогло нам понять, что источником звука на самом деле была видеореклама. Но странность заключалась в том, что никакое видео в этот момент на экране не воспроизводилось. Сначала мы подумали, что оно проигрывалось в другой открытой вкладке или за пределами видимости, но эта гипотеза не подтвердилась. Начали запрашивать у пользователей дополнительную информацию. В том числе список установленных расширений.
Так мы заметили общий признак: у пострадавших было установлено расширение для загрузки видео от сервиса SaveFrom.net. Начали тестировать. Догадка оказалась верной: отключение расширения отключало и фоновый шум. Затем связались с его разработчиками. Они высказали предположение, что это ошибки конвертера, и внесли исправления. После обновления расширения жалобы на звук прекратились.
Новая история
В ноябре команда антифрода Яндекса заподозрила неладное. Она получила сигнал о том, что кто-то использует аудиторию популярных браузеров для накрутки просмотров видео в онлайн-кинотеатрах. Пользователи видео не видели, потому что оно воспроизводилось в фоне. Тем не менее оно потребляло существенный трафик и перегружало работой вычислительные ресурсы компьютера, поэтому такое поведение нельзя назвать добросовестным.
При этом в поддержку на посторонний звук больше никто не жаловался. Это можно было легко объяснить сознательным исключением аудитории Яндекс.Браузера из целевой. Подобные попытки избежать внимания со стороны нашего антифрода мы уже неоднократно встречали в прошлом при анализе поведения расширений из Chrome Web Store (напомним, что наш браузер поддерживает установку в том числе из этого каталога).
Но всё оказалось куда проще: на этот раз фоновое воспроизведение видео проходило в беззвучном режиме. Вскоре коллеги из Службы информационной безопасности выяснили, что проблема затрагивает не только внешних пользователей нашего браузера, но и даже наших коллег. Так мы получили проблемные ноутбуки для исследования и наконец-то смогли детально разобраться в происходящем.
На проблемных устройствах наших коллег были установлены расширения SaveFrom.net, Frigate Light или Frigate CDN. Источник их установки значения не имел (SaveFrom.net мог быть установлен с сайта, а Frigate — напрямую из каталога Chrome Web Store).
Далее мы поделимся с вами результатами нашего анализа. Приведём фрагменты исходного кода и объясним суть их работы. Начнём с объяснения того, как функциональность может подгружаться в расширение без его обновления, и закончим, собственно, воспроизведением видео на компьютере ничего не подозревающего пользователя.
Динамическая загрузка и выполнение кода
Frigate
(полный код расширения доступен по ссылке)
Оба расширения из этого семейства (Light и CDN) имеют один и тот же участок кода, который отвечает за динамическую подгрузку и исполнение JS-скриптов. Специалистам рекомендую обратить внимание на то, как хитро тут спрятана функция eval(). Кстати, обфускация кода и скрытие функциональности запрещены в Chrome Web Store.
Этот код совершает запрос по адресу fri-gate.org/config.txt и получает адрес командного сервера для дальнейшей работы. Такое решение позволяет без обновления расширения менять адреса командного сервера, если с ним что-то пошло не так. В момент нашего анализа командным сервером был gatpsstat.com.
Раз в час расширения совершают запрос к командному серверу в обработчик /ext/stat. При первом запросе им выставляется cookie, которая содержит uuid пользователя. Ответ сервера декодируется и попадает в функцию debug(), которая, по сути, является функцией eval() для выполнения JS-кода.
SaveFrom.net
(полный код расширения также доступен по ссылке)
На 19122-й строке файла background.js начинается блок сбора и выполнения кода.
Стоит обратить внимание на строку “x = m(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)”, которая аналогична “fromCharCode(99, 111, 110, 115, 116, 114, 117, 99, 116, 111, 114)” из расширения Frigate.
Далее идёт большой switch, который ответственен за загрузку и выполнения JS-кода.
По блокам выполнение происходит так:
Одинаковая часть для всех расширений
/ext/stat
Итак, все рассматриваемые расширения имеют возможность динамически выполнять JS-код, который они получают раз в час из обработчика /ext/stat. Этот JS-код в разные моменты времени может быть любым, сколь угодно опасным. Скрытое воспроизведение видео может быть лишь одним из множества возможных симптомов. Но поймать (и задокументировать) подобные симптомы не так-то и просто. Поначалу мы пытались дампить трафик через функциональность браузера, но это не приносило результатов. Даже начали сомневаться, что выбрали правильный путь. Обратились к более медленному, но надёжному варианту: завернули весь трафик через Burp Suite (это такая платформа для анализа безопасности веб-приложений, которая, среди прочего, позволяет перехватывать трафик между приложением и браузером).
Вскоре детальный анализ трафика принёс плоды. Оказалось, что наши предыдущие попытки получить правильный ответ были неуспешны из-за конфига dangerRules. Он содержал список адресов, после посещения которых потенциально опасная деятельность прекращалась.
Обратите внимание: сомнительная активность прекращалась, если пользователь открывал адрес поддержки Яндекс.Браузера или служебную страницу для анализа трафика. Хитро!
Расследование продолжилось. Предстояло разобраться с обработчиком /ext/up, которому и передавался конфиг. Его ответ был сжат и зашифрован, а код обфусцирован. Но это нас не остановило.
/ext/up
Ещё один обработчик с исполняемым кодом. Его ответ маскируется под GIF-картинку.
Расшифрованный ответ содержит JSON с тремя кусками кода. Названия блоков намекают на контекст исполнения кода: bg.js (применяется на фоновой странице расширения), page.js (используется для инъекций в просматриваемые страницы), entry_point.js (код, который отдаётся на /ext/stat).
bg.js и page.js умеют получать и внедрять в страницы iframe с video для показа рекламы. Кроме того, bg.js имеет функциональность, которая может использоваться для перехвата oAuth-токенов сервиса ВКонтакте. Мы не можем однозначно утверждать, что этот механизм в реальности использовался, но он присутствует в коде, поэтому мы рекомендуем отозвать токены для vk.com.
Кроме того, в bg.js мы видим код, который подменяет браузерный API, чтобы просмотры засчитывались даже при скрытом видео.
/ext/def
Предположительно, этот обработчик отвечает за отдачу списка текущих заданий для открутки видео. Запрос клиента и ответ сервера сжаты и зашифрованы на ключе из параметра hk.
В результате выполнения выданного задания видно, что браузер открывает видеоплеер и включает в нём видео. При этом сам видеоплеер не виден пользователю и действие происходит скрытно.
/ext/beacon
Отчёт о выполнении задания расширение отправляет на /ext/beacon. С уже знакомым нам сжатием и шифрованием.
Краткий пересказ того, что делают расширения
Повторим ещё раз всё то же самое, но кратко.
Принятые нами меры
Мы считаем описанное поведение потенциально опасным и недобросовестным, поэтому приняли решение отключить в Яндекс.Браузере уже установленные копии расширений SaveFrom.net, Frigate Light, Frigate CDN и некоторых других. Пользователи этих расширений получат уведомление, в котором мы расскажем о причинах отключения. После этого они смогут принять осознанное решение и при необходимости включить их вновь (хотя мы настоятельно рекомендуем так не поступать).
Кроме того, мы передали результаты нашего технического анализа коллегам из «Лаборатории Касперского» и Google. В «Лаборатории Касперского» уже подтвердили наличие потенциально вредоносной составляющей в расширениях, теперь продукты компании детектируют эту угрозу и блокируют связанные с ней URL-адреса и фрагменты скриптов.
Также в ходе исследования было обнаружено более двух десятков менее популярных браузерных расширений, использующих аналогичный код. Их мы также отключаем. Мы призываем экспертов присоединиться к поиску и других потенциально опасных расширений. Результаты можно присылать через форму. Вместе мы сможем побороть эту угрозу.
Удалите браузерные расширения SaveFrom.net и Frigate — они очень опасны
Команда «Яндекса» убрала из «Яндекс.Браузера» поддержку расширений SaveFrom.net, Frigate Light, Frigate CDN и нескольких других с суммарной аудиторией более 8 миллионов человек. Эти расширения были отключены в браузере даже у тех, кто их установил.
SaveFrom.net используется для скачивания видео с различных сайтов, а расширения Frigate предназначены для доступа к сайтам, заблокированным в России.
Как выяснилось, в расширениях SaveFrom.net и Frigate содержится скрипт, который запускает вредоносный код по команде от удалённого сервера. Команды могут меняться — одна из них, к примеру, используется для накрутки просмотров видео на различных сервисах. Видео воспроизводится фоном без изображения и звука, из-за чего пользователь не замечает ничего, кроме возросшей нагрузки на системные ресурсы компьютера и увеличенный расход трафика.
Вредоносный скрипт в расширениях также способен тайно перехватывать токены от соцсети «ВКонтакте», что в теории позволяет осуществлять взлом аккаунтов.
«Яндекс.Браузер» совместим с раcширениями, выложенными в Chrome Web Store. Этот магазин также служит источником расширений для некоторых других браузеров на базе Chromium, включая Chrome. Расширения SaveFrom.net и Frigate также доступны для Opera, Firefox, Safari и Edge.
Отзывы о Frigate из Chrome Web Store:
«Лаборатория Касперского» подтвердила «Яндексу» наличие вредоносной составляющей в указанных расширениях, теперь продукты компании определяют их как угрозу и блокируют связанные с ними URL-адреса и фрагменты скриптов.
В настоящее время только «Яндекс» принял меры по отключению вредоносных расширений из своего браузера. В «Яндекс.Браузер» их невозможно установит, а в остальных браузерах они не отключены и по-прежнему могут работать.
Яндекс.Браузер отключил расширения SaveFrom, Frigate Light, Frigate CDN из-за потенциально опасной активности
Эксперты из компаний «Яндекс» и «Лаборатория Касперского» обнаружили потенциально опасную деятельность в расширениях SaveFrom.net, Frigate Light и Frigate CDN и других – было выявлено более двадцати опасных расширений. Источник установки расширений значения не имел.
Поводом для начала исследований расширений стали многочисленные жалобы со стороны пользователей Яндекс.Браузера.
В ходе исследования было обнаружено, что популярное расширение для загрузки видео – SaveFrom.net воспроизводило фоновую аудиорекламу, при этом открытых вкладок с аудиорекламой не было. После запроса к разработчику расширения, данная проблема была исправлена.
Спустя некоторое время и входе дальнейшего исследования было обнаружено, что некоторые расширения значительно потребляют сетевой трафик и ресурсы компьютера. Экспертами было установлено, что расширения, в том числе SaveFrom.net, Frigate Light и Frigate CDN, в фоновом режиме, тайно, воспроизводили видео из онлайн-кинотеатров для накрутки просмотров. При этом постороннего звука не было.
По сообщению специалистов, перечисленные расширения так же имели функцию перехвата oAuth-токенов «ВКонтакте».
Стоит отметить, что потенциально опасная деятельность расширений прекращалась при открытии адреса технической поддержки Яндекс.Браузера или при открытии служебной страницы для анализа трафика.
Результат анализа работы данных расширений передан в компанию «Google», «ВКонтакте» и разработчикам популярных браузеров.
«Лаборатория Касперского» подтвердила потенциально опасную деятельность расширений, теперь антивирусные продукты компании обнаруживают угрозу, при использовании данных расширений, и блокируют URL-адреса и фрагменты скриптов.
Несмотря на отключение опасных расширений, пользователи могут их снова включить, но компания не рекомендует этого делать.