Изначально специалистам «Яндекса» казалось, что это попросту проигрываемое видео в другой вкладке или за пределами видимости рабочего экрана. После обращения к SaveFrom.net, его разработчики исправили некие «ошибки конвертера».
Жалобы прекратились ненадолго. В ноябре появилась информация о скрытой накрутке просмотров видео в онлайн-кинотеатрах. Неладное у себя заметили и сотрудники «Яндекса» — оказалось, на их ноутбуках было установлено одно из указанных выше расширений. Все они скрытно запускали видео, перехватывая сессии пользователей из соцсетей.
Принцип работы всей схемы довольно прост:
По такому же принципу, но со своими особенностями работает и Savefrom.net. После расшифровки обработчика ext/up, которому передавались данные, оказалось, что именно в нём происходило получение и внедрение в страницы iframe-кода с видео.
В одном из файлов содержался код для перехвата сессий авторизации «ВКонтакте». Использовались ли oAuth-токены по назначению — утверждать сложно. Также в расширениях обнаружены так называемые «стоп-листы»: они прекращают вредоносную деятельность при переходе на те или иные сайты. Среди прочих указан и адрес поддержки «Яндекс.Браузера».
После расследования в «Яндекс.Браузере» расширения были отключены. Пока что их всё ещё можно включить вручную или установить. В «Яндексе» призывают экспертов и пользователей присоединиться к поиску других потенциально опасных расширений. Чтобы прислать результаты своих наблюдений, следует воспользоваться специальной формой.