گسترش و تکامل بدافزاری با نام پی بات
بدافزار PythonBot که به طور خلاصه با نام PBot شناخته می شود در سال گذشته کشف شد و تا به امروز ویرایشهای متعددی روی آنصورت گرفته است. روش نفوذ این بد افزار در قالب یک ابزار تبلیغاتی بوده که مزاحم فعالیت کاربران میشود.
مرکز بازیابی اطلاعات هارد امین پایتخت همواره می کوشد تا بروزترین خبرها و همچنین خدمات بسیار مناسبی را در خصوص بازیابی اطلاعات برای شما عزیزان ارائه دهد.
بدافزار PythonBot که به طور خلاصه با نام PBot شناخته می شود در سال گذشته کشف شد و تا به امروز ویرایشهای متعددی روی آنصورت گرفته است. روش نفوذ این بد افزار در قالب یک ابزار تبلیغاتی بوده که مزاحم فعالیت کاربران میشود. PBot جدیدا به طور مخفیانه وارد سیستم قربانی می شود و یک کاوشگر ارز دیجیتالی را بدون اینکه قربانی متوجه شود روی آن نصب میکند. چون ماژولهای هسته ی این برنامه ی مخرب به زبان پایتون نوشته شده است،نام آن PythonBot را برای آن انتخاب کردند.
بر اساس گزارشات دو نسخه دیگر از این برنامه ی مخرب شناسایی شده برای بارگذاری تبلیغات در وبسایت هایی که کاربر به آن مراجعه می کند طراحی شده اند. هر دو نسخه به این صورت عمل میکنند که در ابتدا یک فایل DLL مخرب را به سیستم قربانی وارد می کنند. نسخه اول این فایل DLL مخرب را برای اجرای یک کد جاوااسکریپت مورد استفاده قرار می دهد و نسخه دوم نیز از آن جهت نصب کردن افزونه تبلیغاتی بهره می برد. PBot همچنین از ماژولی برخوردار است که باعث میشود اسکریپتهای آن بروزرسانی شده و افزونههای جدید بارگذاری شوند.
کسپرسکی اعلام کرده است که بیش از ۵۰۰۰۰ اقدام برای نصب PBot ثبت شده است در یک ماه اخیر این تعداد بیشتر هم شده است. PBot به طور کلی از طریق سایتهای همکاری پخش می شود که صفحات آنها از اسکریپتهایی برخوردارند که کاربران را به لینکهای دلخواه هدایت میکنند. انتشار PBot در 4 مرحله صورت می گیرد:
۱) بازدید کاربر از سایت مخرب
۲) با کلیک بر روی هر نقطه از صفحه، یک صفحه popup باز شده که به یک لینک فرستاده می شود
۳) کاربر به صفحه دانلود PBot فرستاده شده و یرنامه مخرب دانلود میشود.
۴) یک فایل HTA دانلود میشود که هنگام startup این فایل نصب کننده PBot را دانلود میکند.
PBot شامل چندین اسکریپت پایتون بوده که بصورت پشت سر هم اجرا میشوند. افزونه مرورگر که توسط آن نصب میشود، تعدادی بنر تبلیغاتی را به سایت ها اضافه کرده و کاربر را به به سمت صفحات تبلیغاتی می فرستند.
کسپرسکی بدافزار را با عناوین زیر شناسایی میکند:
AdWare.Win۳۲.PBot
AdWare.NSIS.PBot
AdWare.HTML.PBot
AdWare.Python.PBot
IoCهای آن نیز به شکل زیر می باشد:
۳cd۴۷c۹۱d۸d۸ce۴۴e۵۰a۱۷۸۵۴۵۵c۸f۷c
۱aaedcf۱f۱ea۲۷۴c۷ca۵f۵۱۷۱۴۵cb۹b۵
bb۲fbb۷۲ef۶۸۳e۶۴۸d۵b۲ceca۰d۰۸a۹۳
۲۳e۷cd۸ca۸۲۲۶fa۱۷e۷۲df۲ce۸c۴۳۵۸۶
ad۰۳c۸۲b۹۵۲cc۳۵۲b۵e۶d۴b۲۰۰۷۵d۷e۱
۰cb۵a۳d۴۲۸c۵db۶۱۰a۴۵۶۵c۱۷e۳dc۰۵e
۳a۶ad۷۵eb۳b۸fe۰۷c۶aca۸ae۷۲۴a۹۴۱۶
۱۸۴e۱۶۷۸۹caf۰۸۲۲cd۴d۶۳f۹۸۷۹a۶c۸۱
