Pesquisadores de segurança da Kaspersky identificaram uma nova variante do adware baseado em Python, PBot, que está causando estragos na segurança do navegador. Semelhante à recente ameaça de malware Zacinlo, o PBot é um adware super-poderoso que pode adicionar extensões maliciosas aos navegadores das vítimas após a infiltração de seus sistemas. Embora o PBot tenha sido detectado pela primeira vez há um ano, a versão atual é mais obscura e não é tão fácil de identificar.
As principais vítimas
A PBot está atualmente segmentando usuários na Ucrânia, na Rússia e no Cazaquistão. Pesquisadores identificaram 50.000 tentativas de instalar o PBot em computadores que executam produtos de laboratório da Kaspersky; as tentativas de instalação continuaram a aumentar também.
Como o PBot infecta os sistemas
Como sempre, sites de terceiros ou anônimos são as principais fontes de adwares como o PBot. Quando um usuário visita qualquer um dos sites segmentados, um anúncio pop-up é exibido; quando clicado, esse anúncio leva o usuário a uma página de download para o PBot disfarçada de página de software legítimo.
Se o usuário clicar em qualquer lugar desse site, um arquivo chamado update.hta será baixado em seu sistema. Depois de aberto, esse arquivo aciona a instalação do PBot, com alguma assistência de um servidor remoto de comando e controle anônimo. Durante o processo de instalação, o PBot salva alguns scripts Python e uma extensão do navegador no computador da vítima e, em seguida, executa os scripts Python usando o Agendador de Tarefas do Windows.
O que exatamente é o potencial total da PBot?
Depois de infectar o navegador da vítima, o PBot usa o script brplugin.py para criar um arquivo DLL e, em seguida, instala uma extensão de anúncio no navegador infectado. Depois disso, essa extensão começa a exibir vários anúncios no navegador, redirecionando o usuário para o site do anunciante. Abaixo está uma captura de tela de um dos anúncios típicos da PBot.
Os desenvolvedores do PBot estão continuamente lançando atualizações para tornar esse adware mais sofisticado e obscuro.
Como fugir de PBot
Configurar a segurança adequada do navegador e a proteção do firewall é a melhor maneira de evitar uma infecção PBot. Como administrador de TI da sua organização, você precisa impedir que os usuários visitem websites indesejados e limitem o tráfego de rede por meio de configurações de firewall de práticas recomendadas. Você também deve monitorar o software dentro de sua rede para identificar quaisquer aplicativos proibidos ou arquivos EXE ocultos nos computadores dos usuários.
Juntamente com o trabalho proativo de administradores como você, os usuários também precisam cuidar da proteção do sistema, não baixando nenhum aplicativo de sites anônimos ou de terceiros. A educação do usuário é sempre crítica.
ACS Pro Parceira ManageEngine no Brasil. – Fone / WhatsApp (11) 2626-4653
