Os pesquisadores de segurança da Kaspersky identificaram uma nova variante do adware baseado em Python, PBot, que está causando estragos na segurança do navegador. Semelhante à recente ameaça de malware Zacinlo, PBot é um adware superpotente que pode adicionar extensões maliciosas aos navegadores das vítimas após se infiltrar em seus sistemas. Embora o PBot tenha sido detectado pela primeira vez há um ano, a versão atual é mais obscura e não é tão fácil de identificar.
As principais vítimas
O PBot está atualmente voltado para usuários na Ucrânia, Rússia e Cazaquistão. Os pesquisadores identificaram 50.000 tentativas de instalar o PBot em computadores que executam os produtos da Kaspersky lab; as tentativas de instalação também continuaram a aumentar.
Como PBot infecta sistemas
Como sempre, sites de terceiros ou anônimos são a principal fonte de adware como o PBot. Quando um usuário visita qualquer um dos sites de destino, um anúncio pop-up é exibido; quando clicado, esse anúncio leva o usuário a uma página de download do PBot que está disfarçada como uma página de software legítima.
Se o usuário clicar em qualquer lugar desse site, um arquivo chamado update.hta será baixado em seu sistema. Depois de aberto, esse arquivo aciona a instalação do PBot, com alguma ajuda de um servidor de comando e controle remoto anônimo. Durante o processo de instalação, ele salva alguns scripts Python e uma extensão do navegador no computador da vítima e, em seguida, executa os scripts Python usando o Agendador de Tarefas do Windows.
Qual é exatamente o potencial total do PBot?
Depois de infectar o navegador da vítima, o PBot usa o script brplugin.py para criar um arquivo DLL e, em seguida, instala uma extensão de anúncio no navegador infectado. Uma vez feito isso, esta extensão começa a exibir vários anúncios no navegador, redirecionando o usuário para o site do anunciante. Abaixo está uma captura de tela de um dos anúncios típicos do PBot.
Os desenvolvedores do PBot estão continuamente lançando atualizações para tornar este adware mais sofisticado e obscuro.
Como evitar PBot
Configurar a segurança adequada do navegador e a proteção do firewall é a melhor maneira de evitar uma infecção por PBot. Como administrador de TI da sua organização, você precisa impedir que os usuários visitem sites indesejados e limitar o tráfego de rede por meio de configurações de firewall de práticas recomendadas. Você também deve monitorar o software dentro de sua rede para identificar quaisquer aplicativos proibidos ou arquivos EXE ocultos nos computadores dos usuários.
Junto com o trabalho proativo de administradores como você, os usuários também devem cuidar da proteção do sistema, não baixando nenhuma aplicação de sites anônimos ou de terceiros. A educação do usuário é sempre crítica.
Se você está se perguntando como e por onde começar com este procedimento assustador de segurança de TI que mencionamos, o Desktop Central pode ser o seu parceiro ideal em segurança de endpoint e gerenciamento de dispositivos.
Nota : Esse conteúdo foi traduzido do nosso site em inglês e está replicado nos sites dos nossos parceiros também.
