基于Python的广告软件可以安装恶意浏览器扩展

配音PBot。或Python机器人卡巴斯基实验室的研究人员称，该广告软件在一年多前首次被发现，但从那时起，随着其作者尝试不同的赚钱方案来获利，该恶意软件已经进化。

PBot恶意软件的早期版本旨在执行浏览器中人（MITB）攻击，在受害者访问的网页上注入不需要的广告脚本，但发现新版本在web浏览器中安装了恶意广告扩展。

卡巴斯基研究人员在今天发表的博客文章中说：“开发人员不断发布这种修改的新版本，每一个版本都使脚本混淆变得复杂。”。

“PBot变体的另一个显著特点是，它有一个模块，可以更新脚本并下载新的浏览器扩展。”

恶意软件通常通过合作伙伴网站上的弹出广告传播，这些广告将用户重定向到PBot下载页面，伪装成合法软件。

点击下载页面上的任何地方，最终会在受害者的系统上删除一个“update.hta”文件，如果打开该文件，就会从远程命令和控制服务器下载原始的PBot安装程序。


在安装过程中，恶意软件会在目标系统上删除一个包含Python 3解释器、一些Python脚本和浏览器扩展的文件夹。之后，当用户登录系统时，它使用Windows任务调度器执行python脚本。

研究人员说，PBot由“几个按顺序执行的Python脚本组成。在最新版本的程序中，它们使用Pyminifier进行模糊处理。”。

如果PBot发现受害者系统上安装了任何目标网络浏览器（Chrome/Opera），它会使用“brplugin.py”脚本生成DLL文件，然后将其注入启动的浏览器并安装广告扩展。

研究人员解释说：“PBot安装的浏览器扩展通常会在页面上添加各种横幅，并将用户重定向到广告网站。”。

尽管该恶意软件尚未在全球范围内传播，但其受害者人数惊人，其中大多数居住在俄罗斯、乌克兰和哈萨克斯坦。

研究人员说：“整个4月，我们在卡巴斯基实验室产品用户的计算机上注册了超过50000次安装PBot的尝试。接下来的一个月，这个数字增加了，这表明这个广告软件正在增加。”。

防止自己成为此类攻击的受害者的最佳方法是，在上网时始终保持警惕，并始终在计算机上安装能够检测和阻止此类威胁的良好防病毒软件。

最后但并非最不重要的一点是，始终从可靠来源下载应用程序，如谷歌Play Store，并坚持使用经过验证的开发人员，不要忘记让您的设备和软件保持最新。