PS1Bot живёт только в памяти, крадёт ваши ключи и пароли, и на диске ни следа. А вы всего лишь скачали картинку с котиком

Cisco Talos PS1Bot PowerShell криптокошельки реклама кибератака
PS1Bot живёт только в памяти, крадёт ваши ключи и пароли, и на диске ни следа. А вы всего лишь скачали картинку с котиком
Cisco Talos PS1Bot PowerShell криптокошельки реклама кибератака

Чтобы украсть ваши деньги, злоумышленникам хватит баннера с котиком.

image

Специалисты Cisco Talos выявили новую волну малвертайзинга , нацеленную на распространение многоступенчатой вредоносной платформы под названием PS1Bot. Эта сложная система сочетает модули на PowerShell и C#, предназначенные для кражи данных, кейлоггинга, шпионажа и устойчивого доступа к заражённой системе, при этом активно используя механизмы маскировки и работы исключительно в памяти, чтобы затруднить анализ.

Согласно отчёту, PS1Bot построен по модульной архитектуре, которая позволяет динамически подгружать дополнительные компоненты с командного сервера в обход дисковой записи. Такой подход даёт злоумышленникам гибкость при расширении функциональности вредоноса и делает его крайне трудным для обнаружения. В цепочке заражения задействованы техники SEO-подмены и реклама с вредоносными ZIP-архивами, содержащими JavaScript-загрузчики. Эти скрипты скачивают внешний скриптлет, который разворачивает на диске PowerShell -код и немедленно его исполняет.

На следующем этапе PowerShell-скрипт связывается с C2-сервером и получает команды, активирующие различные модули. Среди них:

  • Модуль сбора информации о системе и установленном антивирусе;

  • Кейлоггер с возможностью перехвата содержимого буфера обмена;

  • Снятие скриншотов с последующей передачей на удалённый сервер;

  • Инструмент для кражи данных криптокошельков , паролей, сид-фраз и конфиденциальных файлов;

  • Компонент обеспечения устойчивости, автоматически запускающий PowerShell при перезагрузке, включая встроенную логику периодического подключения к C2.

Особо подчёркивается, что модуль кражи данных использует встроенные словари для поиска файлов, содержащих чувствительную информацию, а также взаимодействует с браузерами и десктопными криптокошельками.

PS1Bot технически пересекается с вредоносным ПО AHK Bot, построенным на AutoHotkey и ранее применявшимся группировками Asylum Ambuscade и TA866 . Более того, следы активности совпадают с предыдущими кампаниями, связанными с вымогателями и вредоносом Skitnet (также известным как Bossnet), использовавшимся для кражи информации и удалённого управления скомпрометированными системами. PS1Bot становится новым примером всё более продвинутых вредоносных инструментов , способных использовать рекламные экосистемы в качестве канала заражения, при этом комбинируя продуманную архитектуру, скрытность и широкие возможности постэксплуатации.