Изначально специалистам «Яндекса» казалось, что это попросту проигрываемое видео в другой вкладке или за пределами видимости рабочего экрана. После обращения к SaveFrom.net, его разработчики исправили некие «ошибки конвертера».

Жалобы прекратились ненадолго. В ноябре появилась информация о скрытой накрутке просмотров видео в онлайн-кинотеатрах. Неладное у себя заметили и сотрудники «Яндекса» — оказалось, на их ноутбуках было установлено одно из указанных выше расширений. Все они скрытно запускали видео, перехватывая сессии пользователей из соцсетей.

Принцип работы всей схемы довольно прост:

• Для получения адреса командного сервера расширения совершают запрос к адресу fri-gate.org/config.txt
  
• Далее адрес сервера может спокойно меняться
  
• Каждый час расширения делают запрос к командному серверу в обработчик /ext/stat
  
• После этого расширения получают cookie с идентификатором пользователя
  
• Ответ декодируется и попадает в функцию debug() — она же является завуалированной функцией eval() для исполнения произвольного JS-кода
  

По такому же принципу, но со своими особенностями работает и Savefrom.net. После расшифровки обработчика ext/up, которому передавались данные, оказалось, что именно в нём происходило получение и внедрение в страницы iframe-кода с видео.

В одном из файлов содержался код для перехвата сессий авторизации «ВКонтакте». Использовались ли oAuth-токены по назначению — утверждать сложно. Также в расширениях обнаружены так называемые «стоп-листы»: они прекращают вредоносную деятельность при переходе на те или иные сайты. Среди прочих указан и адрес поддержки «Яндекс.Браузера».

После расследования в «Яндекс.Браузере» расширения были отключены. Пока что их всё ещё можно включить вручную или установить. В «Яндексе» призывают экспертов и пользователей присоединиться к поиску других потенциально опасных расширений. Чтобы прислать результаты своих наблюдений, следует воспользоваться специальной формой.