SaveFrom.net – популярное расширение для браузеров, установленное у десятка миллионов пользователей. Позволяет загружать фотографии и мультимедийный контент с социальных сетей, хостингов видеофайлов, новостных сайтов. Пользуясь популярностью, разработчики дополнения решили воспользоваться им для повышения прибылей. Внедрили скрытый вредоносный код, который выполняет запрещённые правилами действия.
Как была выявлена проблема с Savefrom.net
В ноябре 2020 года сотрудники Яндекса получали многочисленные сообщения, что в браузерах слышны звуки рекламы, однако самих баннеров и объявлений нет. Разработчики начали поиски проблемы, в результате анализа выяснилось, что жертв звуков рекламы объединяло наличие расширения для загрузки мультимедиа. Его отключение убирало сторонние звуки.
Сразу после исправление неполадки Яндекс уведомили, что аудиторию распространённых браузеров используют для накрутки просмотров видеороликов. Они воспроизводились в фоновом режиме без отображения вкладки. Трафик с аппаратными ресурсами компьютера такие просмотры потребляли. Аналитическая работа выявила замаскированный от обнаружения вредоносный код в расширениях Frigate и SaveFrom.net, а позже их число возросло до 20 штук.
Задачу упростило то, что сами сотрудники Яндекса стали жертвами мошенников.
Опасность расширения SaveFrom в браузере
Дополнение содержит код для выполнения Java-скриптов, спрятанный от обнаружения, что запрещено политикой магазина дополнений для Chrome. Расширение обращалось к текстовому документу по адресу sf-helper.com/static/ffmpegsignature, где получало ссылку на командный сервер, откуда ему передавались инструкции. Ежеминутно соединялся с gatpsstat.com и выполнял принимаемый код, написанный на JavaScript.
На расследовании накрутки просмотров представители службы безопасности Яндекса не остановились. И дальнейшая работа дала плоды.
SaveFrom признан вирусом
Изучение трафика через сервис для определения безопасности трафика выявило адреса, посещение которых вынуждало скрипт прекращать «грязную» деятельность. Это службы поддержки Яндекса и сервисы для анализа трафика. Информация обработчиков шифруется и маскируется под безобидные картинки. В его коде также обнаружились команды для перехвата процесса авторизации ВКонтакте – пароли с логинами уходили к злоумышленникам.
Специалисты компании отключили Frigate и Savefrom.net в Яндекс.Браузере без возможности активации. Пользователи получают уведомления о вредоносном коде при включении дополнений.
Результаты исследований переданы в лабораторию Касперского и Google. Все программы для безопасности от Каперского определяют СавеФром как вирус. Официального ответа от Google нет.
Если после полученной информации решили обезопасить себя, удалите расширение, инструкция здесь.
Чем можно заменить Сейвфром, чтобы скачать видео?
Дополнение исправно функционирует в браузерах: Mozilla Firefox, Opera, Google Chrome. Если не желаете изменять привычкам, замените Помощника SaveFrom.net на сервис или программу, о которых рассказано по ссылке. Для сохранения единичных видеороликов с Instagram и YouTube подходят альтернативные программы.
Реальные отзывы о SaveFrom.net
Мы выбрали самые интересные из последних отзывов о SaveFrom.net.
Не удивительно, что расширение, которое парсит страницы, использует полученную информацию в своих целях. У меня Мозила, ничего подобного не замечал, хм.
Я думаю, почему антивирус поминутно блокирует переходы gatpsstat.com. Блокировал сайт в hosts, сканировал компьютер на вирусы, SaveFrom.net не определялся как вредоносный код. Только после выключения дополнений проблема исчезала. Я был близок к разгадке.
И чему удивляетесь, когда жмёте «Разрешить» или «Установить», предоставляя дополнению полный доступ до информации. Все хотят зарабатывать, думайте головой, читайте условия использования приложений.
Вопросы и ответы
Если установить старую версия Яндекс.Браузера, будет ли там работать SaveFrom?
Что делать, если антивирус блокирует работу SaveFrom?
Вспомните, не замечали ли вы странного поведения браузера при установленном SaveFrom.net в ноябре-декабре 2020 года?
