El poderoso adware basado en Python llamado PBot (PythonBot) fue más allá de los límites del adware, instala y ejecuta un minero oculto malicioso en la computadora de la víctima.
Dos versiones de PBot utilizadas por los autores de Malware, la infección comienza con la inyección de una DLL maliciosa en el navegador. La primera versión inyecta scripts JS para mostrar anuncios en páginas web.
Segunda versión intento de instalar la extensión de adware malicioso en los navegadores de la víctima comprometida.
Además, los atacantes actualizan frecuentemente las nuevas versiones con algunas modificaciones nuevas con el script para complicar la ofuscación. Además, la última versión de PBot tiene la capacidad de actualizar los scripts y descargar nuevas extensiones de navegador.
Solo en el último mes de abril PBot trató de intentar instalar más de 50,000 sistemas de usuarios y sigue aumentando en los siguientes meses y apuntando a varios países como Rusia, Ucrania y Kazajstán.
Proceso de distribución PBot
PBot distribuido a través de sitios web de Partenred donde los propietarios de los sitios implementan las secuencias de comandos para redirigir a los usuarios a los enlaces patrocinados.
Una vez que los usuarios visitan el sitio asociado, pueden ver la página que mostrará la nueva ventana cuando el usuario haga clic en cualquier parte de la página y se abra para abrir un enlace intermedio.
Este enlace redirigirá a los usuarios para descargar la página de descarga de PBot y realiza una tarea para descargar el adware y ejecutar la máquina de víctimas de la orientación y más tarde su archivo HTA.
Según Kaspersky , PBot consiste en varios scripts de Python y ejecuta el archivo de la siguiente manera:
- El archivo de origen * .hta descarga un archivo ejecutable, que es el instalador de NSIS de PBot, a %AppData%.
- El instalador deja caer una carpeta con el intérprete de Python 3, los scripts de Python y una extensión del navegador en %AppData%.
- Al utilizar la biblioteca de subprocesos, el script ml.py agrega dos tareas al Programador de tareas de Windows. El primero tiene la tarea de ejecutar ml.py cuando el usuario inicia sesión en el sistema, mientras que el segundo ejecuta app.py a diario a las 5:00. Además, la biblioteca winreg se usa para escribir el script app.py en el autocargador.
- Más tarde, en el script launchall.py launch.py se ejecuta el archivo app.py, que es responsable de la actualización de los scripts de PBot que descargarán las nuevas extensiones del navegador.
Finalmente, DLL se inyecta en el navegador iniciado y se instala la extensión de anuncio que conduce a agregar un banner diferente a la página y redirecciona al usuario a los sitios de publicidad.
Fecha actualización el 2021-06-28. Fecha publicación el 2018-06-28. Categoría: adware. Autor: Oscar olg Mapa del sitio Fuente: gbhackers