Аналітики «Лабораторії Касперського» розповіли про еволюцію написаної на Python рекламної малварі PBot (PythonBot), яка тепер встановлює приховані Майнер і розширення для браузера.
Вперше шкідливий потрапив на радари фахівців ще рік тому, і з тих пір він встиг зазнати значних змін. Так, одна з модифікацій PythonBot встановлює і запускає приховані Майнер на комп'ютерах користувачів. Інші дві виявлені варіації мають одну мету: доповнювати небажаної рекламою веб-сторінки, відвідувані жертвою.
В обох варіантах рекламна малваре спочатку намагається впровадити в браузери шкідливу DLL-бібліотеку. У першому варіанті вона використовується для запуску на сторінках JS-скриптів, що відображають на них рекламу, а в другому - для установки в браузер рекламних розширень.
Останній випадок зацікавив дослідників найбільше: вирусописатели постійно випускають нові версії цієї модифікації, в кожній з яких ускладнюють обфускація скриптів. Також відмінною рисою даної варіації PBot є наявність в ній модуля, який оновлює скрипти і викачує свіжі розширення для браузерів.
У квітні 2018 року було зафіксовано понад 50 000 спроб встановлень PBot на комп'ютери користувачів продуктів «Лабораторії Касперського». В наступному місяці це значення збільшилося, що говорить про «підйомі» цієї рекламної програми. Основною аудиторією PBot є Росія, Україна і Казахстан.
Як правило PBot поширюється через сайти-партнери, які впроваджують в свої сторінки скрипти, що перенаправляють користувача на рекламні посилання:
Після починається скачування hta-файлу, який при запуску викачує установник PBot.
ланцюжок поширення
Дослідники розповідають, що PBot складається з декількох Python-скриптів, що виконуються послідовно. У нових версіях програми вони обфусціровани за допомогою Pyminifier . У свіжих версіях PBot модулі виконуються за наступною схемою:
В результаті атака виглядає наступним чином.
- Вихідний файл * .hta викачує в% AppData% виконуваний файл, який є NSIS-інсталятором PBot.
- Інсталятор Дропана в% AppData% папку з інтерпретатором Python 3, Python-скрипти і розширення для браузерів.
- Скрипт ml.py, за допомогою бібліотеки subprocess, додає в планувальник завдань Windows два завдання. Перша націлена на виконання ml.py при вході користувача в систему, друга - щодня о 5:00 запускає app.py. Також за допомогою бібліотеки winreg скрипт app.py прописується в автозавантаження.
- Скрипт launchall.py запускає app.py, який відповідає за оновлення скриптів PBot і скачування нових розширень для браузерів.
- Далі launchall.py перевіряє, активні чи такі процеси:
- browser.exe
- chrome.exe
- opera.exe
- Якщо процеси знайдені, запускається скрипт brplugin.py, який формує DLL-бібліотеку. Остання впроваджується в запущений браузер і встановлює рекламне розширення.
Розширення для браузера, яке встановлюється PBot, як правило, доповнює сторінки різними банерами, а також перенаправляє жертву на рекламні сайти.
PBot в дії
Фото: «Лабораторія Касперського»