Если у вас нет паранойи, это не значит, что за вами не следят

Я довольно давно призываю всех внимательнее относится к цифровой гигиене. Вчера произошла любопытная история с популярными расширениями для браузера Frigate и Savefrom.net: они внезапно стали определяться антивирусом как вредоносные. И не зря: они вполне себе тайно подключались к удаленным серверам, получали с них некий код и исполняли его в браузерах пользователей.

В сети сразу же появились подробные статьи от команды Яндекса, где описан процесс исследования ситуации. Чтиво само по себе интересное, но изобилующее техническими терминами, по этому я вкратце подсвечу главное.

• Техподдержка Яндекса уже давно получала жалобы пользователей на странную работу своего браузера, выяснила, что дело в расширениях, и передала проблему разработчикам расширений, не проводя специальных исследований. Проблемы на какое-то время ушли, но в ноябре вернулись;
• Ссылки на вредоносную часть были искусно спрятаны внутри открытого исходного кода JS;
• Расширения отключали вредоносный функционал в случаях, когда пользователь начинает «копать» в сторону поиска этого функционала;
• Непосредственно вредоносный код подгружался удалённо в виде GIF-картинки, то есть зловредный функционал может оперативно меняться;
• Конкретно в этой истории скрытый код занимался накручиванием просмотров в онлайн-кинотеатрах. То есть люди теряли трафик и ширину канала;
• Так же присутствовал функционал перехвата сессии во Вконтакте (в статье почему-то упомянут только он);
• После вскрытия заговора в наиболее популярных расширениях, авторы исследования нашли те же закладки в десятке других расширений в магазине Google;
• Исследователи сообщили о своих находках в Google и Касперский, Касперский подтвердил их выводы.

Это что написано в статье. Теперь давайте произнесём вслух то, о чём там не было написано прямо.

• Нелегальная деятельность внутри легальных расширений из легального магазина Google происходила долгие месяцы на компах сотен тысяч пользователей.
• Закладка находилась внутри приложения с открытым исходным кодом (привет всем, кто верит, что комьюнити гарантирует информационную безопасность)
• Нелегальная деятельность касалась накруток в онлайн-кинотеатрах. Не роликов на YouTube, которые нужно вывести в тренды, а кинотеатров. Справедливости ради отмечу, что их названия авторы не приводят: может быть это было что-то пиратское про азино три топора, а не рандомный ivi?
• Шпионский функционал создан с таким расчётом, что в течение часа он мог переориентировать всю сеть зараженных компов с накрутки просмотров на майнинг биткоинов. Или DDOS-атаку. Или постинг экстремистских комментариев.
• Проблема была в конце-концов найдена энтузиастами из Яндекса. Антивирус Касперского (платная программа) со всеми своими глубинными анализаторами трафика всё это время щёлкал клювом.

Что делать нам, простым пользователям? Просто избавится от иллюзий, что вы всего лишь обычный человек и никому не интересны. Интересны. Цифровая гигиена нужна. Об этом стоит задумываться.

Ну и, второе: пора уже наконец удалить антивирус. Я от него избавился уже года четыре как, чтобы ресурсы не жрал. Работает встроенный в Винду, ну и цифровая гигиена, конечно. )