PBot: Virus quảng cáo

Thảo luận trong 'Virus/Malware' bắt đầu bởi HustReMw, 11/07/18, 07:07 PM.

  1. HustReMw

    HustReMw Moderator Thành viên BQT

    Tham gia: 20/12/16, 05:12 PM
    Bài viết: 184
    Đã được thích: 120
    Điểm thành tích:
    43
    Tên PBot (PythonBot) xuất phát từ các module cốt lỗi của virus này được viết bằng ngôn ngữ Python. Dòng virus được phát hiện hơn một năm trước, khi đó virus ngoài chức năng của một phần mềm quảng cáo còn cài đặt virus đào tiền ảo.
    upload_2018-7-11_18-43-42.png
    Hai phiên bản khác của dòng virus này được phát hiện cài đặt các quảng cáo không mong muốn trên các trang web mà nạn nhận truy cập. Cả hai phiên bản này đều cố gắng chèn một DLL độc hại vào trình duyệt với hai mục đích khác nhau. Phiêm bản đầu tiên có mục đích chạy một đoạn script JS để hiển thị các quảng cáo trên các trang web, phiên bản thứ 2 thì lại cài một extension vào trình duyệt. Phiên bản thứ 2 là thú vị hơn cả, rất nhiều các bản sửa đổi khác nhau cho phiên bản này. Mỗi bản sửa đổi làm tăng độ phức tạp code. Mỗi tính năng khác biệt của các bản là sự cập nhật các tập lệnh mới và cài đặt các extension mới.

    Phương thức phát tán
    PBot được phát tán thông qua các trang web chứa quảng cáo. Dưới đây là sơ đồ phát tán
    1. Nạn nhận truy cập vào các trang web chứa quảng cáo
    2. Bất kỳ một thao tác nào trên trang web được click. Một cửa sổ trình duyệt mới được mở ra với liên kết mới được chuyển hướng.

    3. Liên kết chuyển hướng có nhiệm vụ tải và đánh lừa nạn nhân chạy PBot
    4. Một file HTA được tải xuống. Khi chạy file này trình cài đặt PBot sẽ được tải

    Logic hoạt động
    PBot bao gồm một số tập lệnh Python được thực thi tuần tự. Một số phiên bản sau được ofuscated bởi Pyminifier.
    upload_2018-7-11_19-15-42.png
    Dưới đây là sơ đồ quá trình cài đặt của PBot phiên bản mới nhất.
    upload_2018-7-11_19-22-44.png
    1. Một file hta được tải và đánh lừa nạn nhân chạy. Khi đó nó sẽ tải một file NSIS để cài đặt PBot trong Appdata.
    2. Trình cài đặt NSIS sẽ xuất ra các file python và extension
    3. ml.py sẽ tạo lịch 2 nhiệm vụ để chạy. Nhiệm vụ thứ nhất là chạy ml.py khi đăng nhập vào hệ thống.Nhiệm vụ thứ 2 là chạy file app.py hàng ngày lúc 5h
    4. launchall.py có nhiệm vụ chạy file app.py và có nhiệm vụ update các script python và extension mới.
    5. Tiếp theo lauchall.py sẽ kiểm tra xem liệu có tiến trình nào của trình duyệt đang hoạt động
    • browser.exe
    • chrome.exe
    • opera.exe
    6. Nếu tiến trình được tìm thấy, brplugin,py sẽ tạo ra một DLL và lây nhiềm vào trình duyệt và cài đặt các extension
    upload_2018-7-11_19-33-44.png
    Khi extension được cài vào trình duyệt. Thì các baner quảng cáo được chèn thêm và sẽ bị chuyển hướng đến các trang khác.
    upload_2018-7-11_19-35-13.png

    Kết luận
    Để theo đuổi lợi nhuận từ quảng các, các virus quảng cáo được tạo ra và liên tục cập nhật các phiên bản mới tạo obfuscated để gây khó dễ cho các sản phẩm bảo mật.

    Dịch hiểu bởi: https://securelist.com/pbot-evolving-adware/86242/
     
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan