تبلیغ‌افزار مبتنی بر پایتون برای نصب افزونه‌های مخرب مرورگر

مدیر

 

محققان امنیتی از وجود چند نوع تبلیغ‌افزار جدید مبتنی بر پایتون هشدار داده‌اند که نه‌تنها به تزریق تبلیغات پرداخته، بلکه افزونه‌های مخرب مرورگر و استخراج‌کننده‌های ارز دیجیتال را به طور پنهانی نیز بر روی رایانه‌ی قربانیان نصب می‌کند. به گفته‌ی محققان آزمایشگاه کسپرسکی، این تبلیغ‌افزار که PBot یا PythonBot نام دارد، برای اولین بار بیش از یک سال پیش کشف شد، اما از آن‌جایی که نویسندگان آن تلاش می‌کنند تا برنامه‌های کسب درآمد مختلفی را برای سود بیشتر به‌کار گیرند، این تبلیغ‌افزار نیز از آن زمان توسعه یافته است.


نسخه‌های پیشین بدافزار PBot برای انجام حملات «مردی در مرورگر» (MITB) و با هدف تزریق اسکریپت‌های تبلیغاتی ناخواسته بر روی صفحات وب بازدیدشده توسط قربانی طراحی شده بودند، اما مشاهده شده است که نسخه‌های جدیدتر آن، افزونه‌های تبلیغاتی مخرب را بر روی مرورگر وب نصب می‌کنند. یکی از ویژگی‌های دیگری که بدافزار PBot را متمایز می‌کند، حضور یک ماژول است که اسکریپت‌ها را به‌روز کرده و افزونه‌های مرورگر جدیدی را دانلود می‌کند.


این بدافزار که معمولا از طریق تبلیغات پاپ-آپ بر روی وب‌سایت‌ها منتشر می‌شود، در ظاهر یک نرم‌افزار قانونی، کاربران را به صفحه‌ی دانلود PBot هدایت می‌کند. با کلیک کردن بر روی صفحه‌ی دانلود، یک فایل update.hta بر روی سیستم قربانی دانلود می‌شود که اگر این فایل باز شود، از یک سرور دستور و کنترل راه دور، نصب‌کننده‌ی اصلی PBot دانلود خواهد شد.


در طول نصب بدافزار، یک پوشه با نام Python 3 بر روی سیستم هدف ایجاد می‌شود که حاوی برخی از اسکریپت‌های پایتون و یک افزونه‌ی مرورگر است. پس از آن، زمانی‌که کاربر وارد سیستم شود، از Windows Task Scheduler برای اجرای اسکریپت‌های پایتون استفاده می‌کند. محققان اعلام کرده‌اند که PBot شامل چندین اسکریپت پایتون است که به‌طور پیوسته اجرا می‌شوند. در آخرین نسخه‌های این برنامه، این اسکریپت‌ها با استفاده از Pyminifier، مخفی می‌شوند.


اگر هرکدام از مرورگرهای وب هدف (اپرا /کروم) توسط PBot بر روی سیستم قربانی شناسایی شود، از اسکریپت brplugin.py برای تولید فایل DLL استفاده کرده و سپس، آن را بر روی مرورگر راه‌اندازی‌شده تزریق کرده و در نهایت، افزونه‌ی تبلیغاتی را نصب می‌کند. افزونه‌ی مرورگر نصب شده توسط PBot، معمولا آگهی‌های مختلفی را بر روی صفحه اضافه کرده و کاربر را به وب‌سایت‌های تبلیغاتی هدایت می‌کند.


اگرچه این بدافزار در سراسر جهان توزیع نشده است، اما تعداد قربانیان هشداردهنده است. بیشتر قربانیان در روسیه، اوکراین و قزاقستان زندگی می‌کنند. محققان گفتند: «در طول ماه آوریل، ما بیش از ۵۰ هزار تلاش برای نصب PBot را بر روی رایانه‌ی کاربرانی که از محصولات آزمایشگاه کسپرسکی استفاده می‌کنند، ثبت کردیم. ماه بعد این تعداد افزایش یافت که نشان می‌دهد که این تبلیغ‌افزار در حال توسعه است.»


بهترین راه برای محافظت از خود در برابر چنین حملاتی این است که همیشه هنگام گشت‌وگذار در اینترنت هشیار بوده و به‌منظور شناسایی و مسدود کردن چنین تهدیداتی، یک نرم‌افزار ضدویروس خوب بر روی رایانه‌ی خود به‌صورت نصب‌شده داشته باشید. همیشه برنامه‌ها را از منابع قابل اعتماد مانند فروشگاه گوگل پلی و توسعه‌دهندگان تاییدشده دانلود کرده و فراموش نکنید که دستگاه و نرم‌افزارهای خود را به‌روز نگه دارید.
 

منبع

پست‌های مشابه

Leave a Comment