بدافزار پی‌بات در حال تکامل است / بدافزار PythonBot یا به اختصار PBot، در سال گذشته شناسایی شده و تا به حال ویرایش‌های زیادی بر روی آن انجام شده است. این بدافزار ابتدا در قالب یک ابزار تبلیغاتی مزاحم فعالیت می‌کرد.

وبگاه خبری تخصصی امنیت آی تی؛ بدافزار PythonBot یا به اختصار PBot، بدافزاری است که در سال گذشته شناسایی شده است و تا به حال ویرایش‌های زیادی بر روی آن انجام شده است. این بدافزار در ابتدا در قالب یک ابزار تبلیغاتی مزاحم فعالیت می‌کرده است و اخیرا یک کاوشگر ارز دیجیتالی را بصورت مخفیانه در سیستم قربانی نصب میکند. بدلیل اینکه ماژولهای هسته این بدافزار در زبان پایتون نوشته شده است، آن را PythonBot نام گذاری کرده‌اند.

بنابر اخبار منتشر شده، دو نسخه دیگر از این بدافزار کشف شده است که با هدف درج تبلیغات در وبسایت‌هایی که کاربر به آن مراجعه می‌کند ایجاد شده‌اند. هر دو نسخه یک فایل DLL مخرب را در رایانه قربانی تزریق می‌کنند. نسخه اول از این فایل DLL مخرب استفاده می‌کند تا یک کد جاوااسکریپت را اجرا کند و نسخه دوم از آن برای نصب افزونه تبلیغاتی استفاده می‌کند. ویژگی دیگر این بدافزار ماژولی است که باعث می‌شود اسکریپت‌های آن بروزرسانی شوند و افزونه‌های جدید را بارگذاری کنند.

کسپرسکی گزارش کرده است که بیش از ۵۰۰۰۰ تلاش برای نصب PBot ثبت شده است. در ماه جاری این تعداد افزایش نیز یافته است. PBot به طور کلی از طریق سایت‌های همکار و همدست توزیع می‌شود که صفحات آنها دارای اسکریپت‌هایی است که کاربران را به لینک‌های مورد نظر هدایت می‌کنند. فرایند انتشار PBot بصورت زیر است:

۱. کاربر از سایت مخرب بازدید میکند.
۲. با کلیک بر روی هر نقطه از صفحه، یک صفحه popup باز می‌شود که به یک لینک هدایت می‌شود.
۳. کاربر به صفحه دانلود PBot هدایت می‌شود و بدافزار دانلود می‌شود.
۴. یک فایل HTA دانلود می‌شود که هنگام startup این فایل نصب کننده PBot را دانلود می‌کند.

PBot چندین اسکریپت پایتون را شامل می‌شود که بصورت متوالی اجرا می‌شوند. افزونه مرورگر که توسط آن نصب می‌شود، چندین بنر تبلیغاتی را به صفحات وب اضافه می‌کند و کاربر را به وبسایت‌های تبلیغاتی هدایت می‌کند.

کسپرسکی بدافزار را با عناوین زیر شناسایی می‌کند:

AdWare.Win۳۲.PBot •
AdWare.NSIS.PBot •
AdWare.HTML.PBot •
AdWare.Python.PBot •

همچنین IoCهای آن بصورت زیر است:

۳cd۴۷c۹۱d۸d۸ce۴۴e۵۰a۱۷۸۵۴۵۵c۸f۷c •
۱aaedcf۱f۱ea۲۷۴c۷ca۵f۵۱۷۱۴۵cb۹b۵ •
bb۲fbb۷۲ef۶۸۳e۶۴۸d۵b۲ceca۰d۰۸a۹۳ •
۲۳e۷cd۸ca۸۲۲۶fa۱۷e۷۲df۲ce۸c۴۳۵۸۶ •
ad۰۳c۸۲b۹۵۲cc۳۵۲b۵e۶d۴b۲۰۰۷۵d۷e۱ •
۰cb۵a۳d۴۲۸c۵db۶۱۰a۴۵۶۵c۱۷e۳dc۰۵e •
۳a۶ad۷۵eb۳b۸fe۰۷c۶aca۸ae۷۲۴a۹۴۱۶ •
۱۸۴e۱۶۷۸۹caf۰۸۲۲cd۴d۶۳f۹۸۷۹a۶c۸۱ •

بدافزار پی‌بات در حال تکامل است /

نظر شما!!