Cybersecurity-onderzoekers hebben een nieuwe Malvertising-campagne ontdekt die is ontworpen om slachtoffers te infecteren met een multi-fase malwarekader genaamd Ps1bot.
“PS1BOT heeft een modulair ontwerp, met verschillende modules die worden geleverd om een verscheidenheid aan kwaadaardige activiteiten uit te voeren op geïnfecteerde systemen, waaronder informatiediefstal, keylogging, verkenning en de oprichting van persistente systeemtoegang,” zei Cisco Talos -onderzoekers Edmund Brumaghin en Jordyn Dunk.
“PS1BOT is ontworpen met stealth in gedachten, het minimaliseren van persistente artefacten die zijn achtergelaten op geïnfecteerde systemen en het opnemen van in-memory uitvoeringstechnieken om de uitvoering van vervolgmodules te vergemakkelijken zonder dat ze naar schijf moeten worden geschreven.”
Campagnes die de PowerShell en C# malware distribueren, zijn sinds begin 2025 actief gebleken, waarbij ze malvertisatie als propagatievector gebruiken, waarbij de infectieketens in het geheugen modules uitvoeren om forensisch pad te minimaliseren. PS1BOT wordt beoordeeld om technische overlappingen te delen met AHK BOT, een op Autohotkey gebaseerde malware die eerder werd gebruikt door dreigingsacteurs Asylum Ambuscade en TA866.
Bovendien is het activiteitscluster geïdentificeerd als overlappend met eerdere ransomware-gerelateerde campagnes met een malware met de naam Skitnet (AKA BossNet) met als doel gegevens te stelen en afstandsbediening te stellen over gecompromitteerde hosts.
Het uitgangspunt van de aanval is een gecomprimeerd archief dat wordt geleverd aan slachtoffers via Malvertising of Search Engine Optimization (SEO) vergiftiging. Aanwezig in het zip -bestand is een JavaScript -payload die dient als een downloader om een scriptlet op te halen van een externe server, die vervolgens een PowerShell -script schrijft naar een bestand op schijf en het uitvoert.
Het PowerShell-script is verantwoordelijk voor het contacteren van een command-and-control (C2) -server en het ophalen van de volgende fase PowerShell-opdrachten waarmee de operators de functionaliteit van de malware op een modulaire manier kunnen vergroten en een breed scala aan acties op de gecompromitteerde host kunnen uitvoeren-
- Antivirusdetectie, die de lijst van antivirusprogramma’s verkrijgt en rapporteert op het geïnfecteerde systeem
- Screen Capture, die screenshots op geïnfecteerde systemen vastlegt en de resulterende afbeeldingen verzendt naar de C2 -server
- Wallet Grabber, die gegevens steelt van webbrowsers (en portemonnee -extensies), toepassingsgegevens voor cryptocurrency -portemonnee -applicaties en bestanden die wachtwoorden, gevoelige strings of portemonnee zaadzinnen bevatten
- KeyLogger, die toetsaanslagen registreert en klembordinhoud verzamelt
- Informatieverzameling, die informatie over het geïnfecteerde systeem en de omgeving op de aanvaller oogst en verzendt en verzendt
- Persistentie, dat een PowerShell -script zodanig creëert dat het automatisch wordt gestart wanneer het systeem opnieuw start, met dezelfde logica die wordt gebruikt om het C2 -pollingproces op te stellen om de modules op te halen
“De implementatie van de informatie -stealer -module maakt gebruik van tekstlijsten ingebed in de Stealer om bestanden op te sommen die wachtwoorden en zaadzinnen bevatten die kunnen worden gebruikt om toegang te krijgen tot cryptocurrency -portefeuilles, die de Stealer ook probeert te exfiltreren van geïnfecteerde systemen,” merkte Talos op.
“Het modulaire karakter van de implementatie van deze malware biedt flexibiliteit en maakt de snelle implementatie van updates of nieuwe functionaliteit mogelijk.”
De openbaarmaking komt wanneer Google zei dat het gebruik maakt van kunstmatige intelligentie (AI) -systemen die worden aangedreven door grote taalmodellen (LLMS) om ongeldig verkeer (IVT) te bestrijden en beter te identificeren dat advertenties in het hele gedrag genereren die ongeldig gedrag genereren.
“Onze nieuwe applicaties bieden snellere en sterkere bescherming door app- en webinhoud, advertentieplaatsingen en gebruikersinteracties te analyseren,” zei Google. “Ze hebben bijvoorbeeld onze content review -mogelijkheden aanzienlijk verbeterd, wat leidt tot een vermindering van 40% in IVT als gevolg van misleidende of verstorende advertentie -dienende praktijken.”
