Les logiciels publicitaires basés sur Python évoluent pour installer des extensions de navigateur malveillantes

Les chercheurs en sécurité ont mis en garde contre quelques nouvelles versions d’adware python qui ont été distribuées dans la nature non seulement pour injecter des publicités, mais aussi pour installer des extensions de navigateur malveillantes et des mineurs cachés de crypto-monnaie dans les ordinateurs des victimes.

Surnommé PBot , ou PythonBot , l’adware a été découvert il y a plus d’un an, mais depuis, le malware a évolué, ses auteurs essayant de tirer profit de différents programmes lucratifs, selon des chercheurs de Kaspersky Labs.

Les versions précédentes du logiciel malveillant PBot ont été conçues pour effectuer des attaques MITB pour injecter des scripts publicitaires indésirables sur les pages Web visitées par la victime, mais les dernières versions ont été trouvées en train d’installer des extensions d’annonces malveillantes dans le navigateur Web. .

"Les développeurs publient constamment de nouvelles versions de cette modification, chacune d’entre elles compliquant l’obscurcissement du script", ont déclaré les chercheurs de Kaspersky dans leur article publié aujourd’hui.

"Une autre caractéristique de cette variante de PBot est la présence d’un module qui met à jour les scripts et télécharge de nouvelles extensions de navigateur."

Le malware est généralement distribué via des publicités pop-up sur les sites partenaires, qui redirigent les utilisateurs vers la page de téléchargement PBot, déguisé en logiciel légitime.

En cliquant n’importe où sur la page de téléchargement, un fichier "update.hta" est déposé sur le système de la victime, qui, s’il est ouvert, télécharge le programme d’installation PBot d’origine à partir d’un serveur de commande et de contrôle distant.

Lors de l’installation, le logiciel malveillant supprime un dossier contenant l’interpréteur Python 3, des scripts Python et une extension du navigateur sur le système ciblé. Après cela, il utilise Windows Task Scheduler pour exécuter des scripts Python lorsque l’utilisateur se connecte au système.

PBot se compose de "plusieurs scripts Python exécutés en séquence.Dans les dernières versions du programme, ils sont obscurcis en utilisant Pyminifier", disent les chercheurs.

Si PBot trouve des navigateurs Web ciblés (Chrome / Opera) installés sur le système de la victime, il utilise le script "brplugin.py" pour générer le fichier DLL, puis l’injecte dans le navigateur lancé et installe l’extension d’annonce.

"L’extension de navigateur installée par PBot ajoute généralement diverses bannières à la page, et redirige l’utilisateur vers des sites de publicité", expliquent les chercheurs.
Bien que le malware n’ait pas été distribué dans le monde entier, il a un nombre alarmant de victimes, dont la majorité réside en Russie, en Ukraine et au Kazakhstan.

"Au cours du mois d’avril, nous avons enregistré plus de 50 000 tentatives d’installation de PBot sur les ordinateurs des utilisateurs de produits Kaspersky Lab, et ce nombre a augmenté le mois suivant, indiquant que ce logiciel publicitaire est en pleine croissance".

Le meilleur moyen de vous éviter d’être victime de telles attaques est d’être vigilant lorsque vous surfez sur Internet, et de toujours garder un bon logiciel antivirus installé sur votre ordinateur capable de détecter et de bloquer ces menaces.

Dernier point, mais non des moindres, téléchargez toujours des applications provenant de sources fiables, comme Google Play Store, et tenez-vous en aux développeurs vérifiés, et n’oubliez pas de garder vos appareils et vos logiciels à jour.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 30 |

Actu en image