不斷演變的廣告軟體——PBot

不斷演變的廣告軟體——PBot

來自專欄嘶吼RoarTalk

廣告軟體PBot（PythonBot）因其核心模塊是用Python編寫而得名。一年多前，我們發現了這個家族的第一個成員。從那以後，我們陸續見到了該程序的一些修改版，其中一個在受害者計算機上安裝並運行隱密的挖礦軟體（超出了廣告軟體的界限）：

我們檢測到另外兩個版本的PBot僅限於在受害者訪問的網頁上放置不需要的廣告。在這兩個版本中，廣告軟體最初都會嘗試將惡意DLL注入瀏覽器。第一個版本使用它來運行JS腳本在網頁上顯示廣告，第二個版本是在瀏覽器中安裝廣告插件。因為後者更有價值，所以開發人員不斷發布此修改的新版本，每個版本都會使腳本混淆變得複雜。這種Pbot變體的另一顯著特徵是存在一個更新腳本並下載新瀏覽器擴展的模塊。

四月份，我們在卡巴斯基實驗室產品用戶的計算機上發現了超過50,000次安裝PBot的嘗試。接下來的一個月，這個數字增加了，表明該廣告軟體正在增加。PBot的目標受眾主要集中在俄羅斯，烏克蘭和哈薩克。

傳播方式

PBot通常通過合作夥伴網站傳播，其頁面上的腳本將用戶重定向到贊助鏈接。下面是標準的PBot傳播方案：

1.用戶訪問合作夥伴網站。

2.點擊頁面上的任意點時，彈出一個新的瀏覽器窗口，打開一個中間鏈接。

3.中間鏈接將用戶重定向到PBot下載頁面，該頁面負責通過鉤子或欺騙受害者在計算機上下載並運行廣告軟體。下面是來自一個這樣的頁面的一段代碼：

4.下載HTA文件。啟動時此文件下載PBot安裝程序。

運行邏輯

PBot由若干按順序執行的Python腳本組成。在最新版本的程序中，使用Pyminifier進行混淆。

在新版本的PBot中，模塊按照如下方案執行：

1.源文件* .hta將可執行文件（PBot的NSIS安裝程序）下載到%AppData%。

2.安裝程序將包含Python 3解釋器、Python腳本和瀏覽器插件的文件夾放入％AppData％中。

3.使用子進程庫，ml.py腳本將兩個任務添加到Windows任務計劃程序。第一個任務是在用戶登錄系統時執行ml.py，而第二個則在每天5:00運行app.py。此外，winreg庫用於將app.py腳本寫入自動載入。

4.launchall.py腳本運行app.py，它負責處理PBot腳本的更新和新瀏覽器插件的下載。

5.接下來，launchall.py檢查以下進程是否處於活動狀態：

· browser.exe

· chrome.exe

· opera.exe

6.如果找到進程，則啟動DLL生成腳本brplugin.py。將生成的DLL注入到啟動的瀏覽器並安裝廣告插件。

PBot安裝的瀏覽器插件通常會在頁面上添加各種橫幅，並將用戶重定向到廣告網站。

總結

為了追求利潤，廣告軟體所有者經常大量安裝其產品，PBot開發者也不例外。他們發布新版本（並在用戶計算機上更新它們），使其混淆複雜化，並繞過保護系統。卡巴斯基實驗室解決方案基於以下判斷檢測PBot：

· AdWare.Win32.PBot

· AdWare.NSIS.PBot

· AdWare.HTML.PBot

· AdWare.Python.PBot

IoCs:

3cd47c91d8d8ce44e50a1785455c8f7c

1aaedcf1f1ea274c7ca5f517145cb9b5

bb2fbb72ef683e648d5b2ceca0d08a93

23e7cd8ca8226fa17e72df2ce8c43586

ad03c82b952cc352b5e6d4b20075d7e1

0cb5a3d428c5db610a4565c17e3dc05e

3a6ad75eb3b8fe07c6aca8ae724a9416

184e16789caf0822cd4d63f9879a6c81

本文翻譯自：https://securelist.com/pbot-evolving-adware/86242/如若轉載，請註明原文地址： http://www.4hou.com/web/12275.html 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀：