Массовую кампанию по распространению рекламного зловреда зафиксировали специалисты «Лаборатории Касперского». Программа внедряется в браузер жертвы и открывает в нем несанкционированные объявления. Скрипт поддерживает связь с командным сервером и получает от него полезную нагрузку и обновления.

Вредонос получил название PBot (PythonBot), поскольку написан на языке программирования Python. Программа попадает на компьютер через сайты, содержащие специальный скрипт, отправляющий посетителя на страницу загрузки. Используя методы социальной инженерии, злоумышленники пытаются убедить жертву установить приложение на свое устройство.

Попав на компьютер, зловред внедряет в браузер свою DLL-библиотеку. Эксперты обнаружили несколько вариантов программы. Один из них демонстрирует рекламные объявления при помощи модуля, написанного на JavaScript, другой — устанавливает для этой цели специальные расширения.

Как отмечают аналитики «Лаборатории Касперского», вредоносный скрипт постоянно развивается. Злоумышленники работают над обфускацией кода, чтобы затруднить обнаружение программы. Кроме того, одна из версий программы, попавшая в руки специалистов, скрытно устанавливает на компьютер пользователя майнер для генерации криптовалюты.

Вредонос глубоко внедряется в зараженную систему. Он добавляется в автозагрузку, а также ежедневно связывается с командным сервером для получения обновлений и новых рекламных модулей. Помимо показа баннеров, программа перенаправляет пользователя с нейтральных веб-ресурсов на сайты-партнеры, отчисляющие вознаграждение злоумышленникам.

Кампания нацелена в первую очередь на Россию, Украину и Казахстан. Количество инфицированных компьютеров в этих регионах исчисляется десятками тысяч. Небольшой очаг заражения выявлен в Бразилии, а США и страны Юго-Восточной Азии практически не пострадали от атаки PBot.

В погоне за прибылью создатели рекламных зловредов идут на различные уловки, чтобы обмануть жертву и заставить ее установить свою программу. Недавно ИБ-специалисты обнаружили в Google Play приложение, которое выдавало себя за утилиту управления зарядом аккумулятора, а на деле демонстрировало жертве партнерские баннеры.

Категории: Аналитика, Вредоносные программы