Adware Baseado em Python Ameaça a Segurança do Navegador

Pesquisadores de segurança da Kaspersky identificaram uma nova variante do adware baseado em Python, PBot, que está causando estragos na segurança do navegador. Semelhante à recente ameaça de malware Zacinlo, o PBot é um adware super-poderoso que pode adicionar extensões maliciosas aos navegadores das vítimas após a infiltração de seus sistemas. Embora o PBot tenha sido detectado pela primeira vez há um ano, a versão atual é mais obscura e não é tão fácil de identificar.

As principais vítimas

A PBot está atualmente segmentando usuários na Ucrânia, na Rússia e no Cazaquistão. Pesquisadores identificaram 50.000 tentativas de instalar o PBot em computadores que executam produtos de laboratório da Kaspersky; as tentativas de instalação continuaram a aumentar também.

Como o PBot infecta os sistemas

Como sempre, sites de terceiros ou anônimos são as principais fontes de adwares como o PBot. Quando um usuário visita qualquer um dos sites segmentados, um anúncio pop-up é exibido; quando clicado, esse anúncio leva o usuário a uma página de download para o PBot disfarçada de página de software legítimo.

Se o usuário clicar em qualquer lugar desse site, um arquivo chamado update.hta será baixado em seu sistema. Depois de aberto, esse arquivo aciona a instalação do PBot, com alguma assistência de um servidor remoto de comando e controle anônimo. Durante o processo de instalação, o PBot salva alguns scripts Python e uma extensão do navegador no computador da vítima e, em seguida, executa os scripts Python usando o Agendador de Tarefas do Windows.

O que exatamente é o potencial total da PBot?

Depois de infectar o navegador da vítima, o PBot usa o script brplugin.py para criar um arquivo DLL e, em seguida, instala uma extensão de anúncio no navegador infectado. Depois disso, essa extensão começa a exibir vários anúncios no navegador, redirecionando o usuário para o site do anunciante. Abaixo está uma captura de tela de um dos anúncios típicos da PBot.

Os desenvolvedores do PBot estão continuamente lançando atualizações para tornar esse adware mais sofisticado e obscuro.

Como fugir de PBot

Configurar a segurança adequada do navegador e a proteção do firewall é a melhor maneira de evitar uma infecção PBot. Como administrador de TI da sua organização, você precisa impedir que os usuários visitem websites indesejados e limitem o tráfego de rede por meio de configurações de firewall de práticas recomendadas. Você também deve monitorar o software dentro de sua rede para identificar quaisquer aplicativos proibidos ou arquivos EXE ocultos nos computadores dos usuários.

Juntamente com o trabalho proativo de administradores como você, os usuários também precisam cuidar da proteção do sistema, não baixando nenhum aplicativo de sites anônimos ou de terceiros. A educação do usuário é sempre crítica.

Se você está se perguntando como e onde começar com este procedimento de segurança de TI intimidante que mencionamos, o Desktop Central da ManageEngine pode ser seu parceiro ideal em segurança de terminais e gerenciamento de dispositivos. Conte com o apoio da equipe ACSoftware para lhe auxiliar em seus testes e duvidas!

Deixe um comentário

Blog ACSoftware - ManageEngine