Adware trên nền Python cài đặt phần mở rộng độc hại vào trình duyệt

Các nhà nghiên cứu bảo mật đang cảnh báo về một vài biến thể mới phát hiện của adware (phần mềm quảng cáo) trên nền python đang được phát tán trên mạng. Những adware này sẽ cài đặt các phần mở rộng độc hại vào trình duyệt của bạn và bí mật cài bộ đào tiền ảo vào máy tính của nạn nhân.

Theo các chuyên gia của Kaspersky Labs, adware này – được gọi là PBot, hay PythonBot – lần đầu được tìm thấy hơn một năm trước, nhưng sau đó đã tiến hóa do kẻ phát tán thử một số phương pháp khác để kiếm tiền.

Các phiên bản trước của malware PBot có chức năng tấn công xen giữa (man-in-the-browser, hay MITB) để chèn các đoạn mã quảng cáo vào các trang web người dùng truy cập, nhưng các biến thể mới đã chuyển sang cài các phần mở rộng độc hại vào trình duyệt

“Những kẻ phát tán đang liên tục tạo ra các phiên bản mới của biến thể với độ khó nhận diện ngày một cao” – các chuyên gia của Kaspersky cho biết.

“Một điểm đặc biệt khác của biến thể PBot này là việc nó chứa một module có thể cập nhật bộ mã và tải về các phần mở rộng độc hại.”

Malware này lây lan qua các pop-up quảng cáo của các trang đối tác có dẫn link tới trang download PBot được ngụy trang dưới hình thức phần mềm chính thống.

Bấm vào bất kì chỗ nào trong trang download đều tải về một file “update.hta” trong hệ thống của nạn nhân mà nếu được mở sẽ tải bộ cài PBot về từ một máy chủ điều khiển từ xa.

Trong quá trình cài đặt, malware này tạo một thư mục trong máy tính nạn nhân với bộ thực thi Python 3, một vài đoạn mã Python và một phần mở rộng cho trình duyệt. Sau đó nó sử dụng Windows Task Scheduler để thực thi các đoạn mã python tại ngay thời điểm người dùng đăng nhập vào hệ thống.

PBot, theo các nhà nghiên cứu bảo mật, bao gồm vài đoạn mã Python liên tiếp. Trong phiên bản mới nhất của phần mềm này, mã nguồn được ngụy trang bằng Pyminifier.

Nếu PBot tìm ra các trình duyệt được nhắm tới (Chrome/Opera) trên máy tính người dùng, nó sẽ chạy đoạn mã “brplugin.py” để tạo ra file DLL và chèn vào trình duyệt khi bật lên để cài đặt phần mở rộng độc hại.

Chuyên gia cho biết: “Phần mở rộng được chèn vào bởi PBot thường đặt các banner quảng cáo và dẫn link về các trang quảng cáo.”

Mặc dù malware này chưa được phát tán trên phạm vi toàn cầu, nó đã có số lượng nạn nhân đáng nể, tập trung tại Nga, Ukraine và Kazakhstan.

Chuyên gia cho biết: “Trong tháng Tư, chúng tôi phát hiện hơn 50.000 hành vi cài đặt PBot trên máy tính của người dùng sử dụng sản phẩm của Kaspersky Lab. Con số này còn tăng lên vào tháng sau, cho thấy adware này đang ngày một lớn mạnh.”

Cách tốt nhất để tự bảo vệ khỏi những chiêu tấn công này là hãy cẩn thận khi lướt web và luôn có sẵn một trình duyệt virus tốt trên máy tính để phát hiện và ngăn chặn các mối đe dọa này.

Chốt lại, hãy luôn tải các phần mềm từ các nguồn uy tín như Google Play Store và từ các nhà phát triển được chứng nhận cũng như không quên cập nhật phần mềm liên tục cho thiết bị của bạn.

THN