Исследователи безопасности из компании Cisco Talos выявили новую сложную вредоносную программу PS1Bot. Этот многоступенчатый фреймворк, созданный с использованием PowerShell и C, предназначен для кражи информации, шпионажа и обеспечения долгосрочного доступа к зараженным компьютерам. Ключевая особенность PS1Bot — его способность работать полностью в оперативной памяти, что значительно усложняет его обнаружение и оставляет минимум следов на диске.
Основным вектором распространения PS1Bot является вредоносная реклама (malvertising) и SEO-отравление, когда злоумышленники манипулируют результатами поисковой выдачи для продвижения вредоносных сайтов. Пользователи, переходя по такой рекламе или ссылкам, попадают на страницу, с которой им предлагается скачать сжатый ZIP-архив, замаскированный под легитимное программное обеспечение.
Цепочка заражения начинается с запуска пользователем JavaScript-файла из загруженного архива. Этот скрипт выступает в роли загрузчика и скачивает с удаленного сервера следующий компонент — скриптлет. Далее этот скриптлет создает и запускает на диске жертвы PowerShell-скрипт, который и является первой стадией основной вредоносной программы.
После запуска PowerShell-скрипт устанавливает соединение с командно-контрольным сервером (C2). Через этот канал злоумышленники отправляют на зараженную машину дальнейшие команды и модули в виде PowerShell-скриптов. Такая модульная архитектура позволяет им динамически расширять функциональность PS1Bot, адаптируя его под конкретную цель и добавляя новые возможности по мере необходимости.
Основной целью атак является кража криптовалюты и других конфиденциальных данных. Для этого используется модуль "Wallet Grabber", который целенаправленно ищет и похищает данные из расширений для криптовалютных кошельков в браузерах, а также из локальных приложений. Модуль также сканирует файловую систему в поисках файлов, содержащих пароли, seed-фразы и другие ключевые слова из встроенных в него списков.
Помимо кражи данных кошельков, PS1Bot оснащен и другими шпионскими модулями. Один из них собирает информацию об установленных на системе антивирусных программах и отправляет ее на C2-сервер. Другие модули способны делать снимки экрана, перехватывать нажатия клавиш с помощью кейлоггера и копировать содержимое системного буфера обмена.
Для обеспечения постоянного присутствия в системе PS1Bot создает специальный PowerShell-скрипт. Этот скрипт настраивается на автоматический запуск при каждой перезагрузке компьютера, что позволяет вредоносной программе восстанавливать связь с командным сервером и продолжать свою деятельность незаметно для пользователя.
Ответственность за обнаружение и анализ этой кампании, активной с начала 2025 года, несут исследователи Эдмунд Брумагин и Джордин Данк из Cisco Talos. Они установили, что операторы PS1Bot имеют технические пересечения с ранее известными киберпреступными группировками Asylum Ambuscade и TA866.
Также были выявлены сходства в коде и тактиках с другими вредоносными программами. В частности, отмечается связь с AHK Bot, написанным на языке AutoHotkey, и Skitnet (также известным как Bossnet), который ранее использовался в атаках программ-вымогателей для кражи данных и установления удаленного контроля над системами.
На фоне роста подобных угроз, распространяемых через рекламные сети, технологические компании усиливают меры противодействия. Корпорация Google активно применяет системы на базе искусственного интеллекта и больших языковых моделей (LLM) для борьбы с недействительным трафиком (Invalid Traffic, IVT) на своих рекламных платформах.
Использование ИИ позволяет более точно анализировать контент приложений и сайтов, места размещения рекламы и взаимодействие пользователей, выявляя мошеннические и вредоносные схемы. По данным Google, внедрение этих технологий уже привело к снижению объема недействительного трафика, связанного с вводящими в заблуждение рекламными практиками, на 40%.
Изображение носит иллюстративный характер
Основным вектором распространения PS1Bot является вредоносная реклама (malvertising) и SEO-отравление, когда злоумышленники манипулируют результатами поисковой выдачи для продвижения вредоносных сайтов. Пользователи, переходя по такой рекламе или ссылкам, попадают на страницу, с которой им предлагается скачать сжатый ZIP-архив, замаскированный под легитимное программное обеспечение.
Цепочка заражения начинается с запуска пользователем JavaScript-файла из загруженного архива. Этот скрипт выступает в роли загрузчика и скачивает с удаленного сервера следующий компонент — скриптлет. Далее этот скриптлет создает и запускает на диске жертвы PowerShell-скрипт, который и является первой стадией основной вредоносной программы.
После запуска PowerShell-скрипт устанавливает соединение с командно-контрольным сервером (C2). Через этот канал злоумышленники отправляют на зараженную машину дальнейшие команды и модули в виде PowerShell-скриптов. Такая модульная архитектура позволяет им динамически расширять функциональность PS1Bot, адаптируя его под конкретную цель и добавляя новые возможности по мере необходимости.
Основной целью атак является кража криптовалюты и других конфиденциальных данных. Для этого используется модуль "Wallet Grabber", который целенаправленно ищет и похищает данные из расширений для криптовалютных кошельков в браузерах, а также из локальных приложений. Модуль также сканирует файловую систему в поисках файлов, содержащих пароли, seed-фразы и другие ключевые слова из встроенных в него списков.
Помимо кражи данных кошельков, PS1Bot оснащен и другими шпионскими модулями. Один из них собирает информацию об установленных на системе антивирусных программах и отправляет ее на C2-сервер. Другие модули способны делать снимки экрана, перехватывать нажатия клавиш с помощью кейлоггера и копировать содержимое системного буфера обмена.
Для обеспечения постоянного присутствия в системе PS1Bot создает специальный PowerShell-скрипт. Этот скрипт настраивается на автоматический запуск при каждой перезагрузке компьютера, что позволяет вредоносной программе восстанавливать связь с командным сервером и продолжать свою деятельность незаметно для пользователя.
Ответственность за обнаружение и анализ этой кампании, активной с начала 2025 года, несут исследователи Эдмунд Брумагин и Джордин Данк из Cisco Talos. Они установили, что операторы PS1Bot имеют технические пересечения с ранее известными киберпреступными группировками Asylum Ambuscade и TA866.
Также были выявлены сходства в коде и тактиках с другими вредоносными программами. В частности, отмечается связь с AHK Bot, написанным на языке AutoHotkey, и Skitnet (также известным как Bossnet), который ранее использовался в атаках программ-вымогателей для кражи данных и установления удаленного контроля над системами.
На фоне роста подобных угроз, распространяемых через рекламные сети, технологические компании усиливают меры противодействия. Корпорация Google активно применяет системы на базе искусственного интеллекта и больших языковых моделей (LLM) для борьбы с недействительным трафиком (Invalid Traffic, IVT) на своих рекламных платформах.
Использование ИИ позволяет более точно анализировать контент приложений и сайтов, места размещения рекламы и взаимодействие пользователей, выявляя мошеннические и вредоносные схемы. По данным Google, внедрение этих технологий уже привело к снижению объема недействительного трафика, связанного с вводящими в заблуждение рекламными практиками, на 40%.
