PS1Bot живёт только в памяти, крадёт ваши ключи и пароли, и на диске ни следа. А вы всего лишь скачали картинку с котиком
NewsMakerЧтобы украсть ваши деньги, злоумышленникам хватит баннера с котиком.
Специалисты Cisco Talos выявили новую волну малвертайзинга , нацеленную на распространение многоступенчатой вредоносной платформы под названием PS1Bot. Эта сложная система сочетает модули на PowerShell и C#, предназначенные для кражи данных, кейлоггинга, шпионажа и устойчивого доступа к заражённой системе, при этом активно используя механизмы маскировки и работы исключительно в памяти, чтобы затруднить анализ.
Согласно отчёту, PS1Bot построен по модульной архитектуре, которая позволяет динамически подгружать дополнительные компоненты с командного сервера в обход дисковой записи. Такой подход даёт злоумышленникам гибкость при расширении функциональности вредоноса и делает его крайне трудным для обнаружения. В цепочке заражения задействованы техники SEO-подмены и реклама с вредоносными ZIP-архивами, содержащими JavaScript-загрузчики. Эти скрипты скачивают внешний скриптлет, который разворачивает на диске PowerShell -код и немедленно его исполняет.
На следующем этапе PowerShell-скрипт связывается с C2-сервером и получает команды, активирующие различные модули. Среди них:
PS1Bot технически пересекается с вредоносным ПО AHK Bot, построенным на AutoHotkey и ранее применявшимся группировками Asylum Ambuscade и TA866 . Более того, следы активности совпадают с предыдущими кампаниями, связанными с вымогателями и вредоносом Skitnet (также известным как Bossnet), использовавшимся для кражи информации и удалённого управления скомпрометированными системами. PS1Bot становится новым примером всё более продвинутых вредоносных инструментов , способных использовать рекламные экосистемы в качестве канала заражения, при этом комбинируя продуманную архитектуру, скрытность и широкие возможности постэксплуатации.
Специалисты Cisco Talos выявили новую волну малвертайзинга , нацеленную на распространение многоступенчатой вредоносной платформы под названием PS1Bot. Эта сложная система сочетает модули на PowerShell и C#, предназначенные для кражи данных, кейлоггинга, шпионажа и устойчивого доступа к заражённой системе, при этом активно используя механизмы маскировки и работы исключительно в памяти, чтобы затруднить анализ.
Согласно отчёту, PS1Bot построен по модульной архитектуре, которая позволяет динамически подгружать дополнительные компоненты с командного сервера в обход дисковой записи. Такой подход даёт злоумышленникам гибкость при расширении функциональности вредоноса и делает его крайне трудным для обнаружения. В цепочке заражения задействованы техники SEO-подмены и реклама с вредоносными ZIP-архивами, содержащими JavaScript-загрузчики. Эти скрипты скачивают внешний скриптлет, который разворачивает на диске PowerShell -код и немедленно его исполняет.
На следующем этапе PowerShell-скрипт связывается с C2-сервером и получает команды, активирующие различные модули. Среди них:
- Модуль сбора информации о системе и установленном антивирусе;
- Кейлоггер с возможностью перехвата содержимого буфера обмена;
- Снятие скриншотов с последующей передачей на удалённый сервер;
- Инструмент для кражи данных криптокошельков , паролей, сид-фраз и конфиденциальных файлов;
- Компонент обеспечения устойчивости, автоматически запускающий PowerShell при перезагрузке, включая встроенную логику периодического подключения к C2.
PS1Bot технически пересекается с вредоносным ПО AHK Bot, построенным на AutoHotkey и ранее применявшимся группировками Asylum Ambuscade и TA866 . Более того, следы активности совпадают с предыдущими кампаниями, связанными с вымогателями и вредоносом Skitnet (также известным как Bossnet), использовавшимся для кражи информации и удалённого управления скомпрометированными системами. PS1Bot становится новым примером всё более продвинутых вредоносных инструментов , способных использовать рекламные экосистемы в качестве канала заражения, при этом комбинируя продуманную архитектуру, скрытность и широкие возможности постэксплуатации.