Новый вредонос PS1Bot распространяется через рекламу и бьёт по криптокошелькам

Специалисты из Cisco Talos зафиксировали крупномасштабную киберкампанию с использованием модульного вредоносного ПО PS1Bot, распространяемого через недобросовестную рекламу и манипуляции с результатами поисковых систем. Главной задачей злоумышленников является хищение конфиденциальной информации и криптовалюты.

PS1Bot, разработанный на PowerShell и C#, функционирует исключительно в оперативной памяти, что позволяет ему избегать сохранения компонентов на жестком диске и снижать вероятность обнаружения. Такой подход затрудняет выявление и изучение угрозы, а также обеспечивает оперативную интеграцию новых функциональных возможностей. В арсенале вредоноса присутствуют кейлоггер, модуль сбора информации о системе, инструмент для создания снимков экрана, похититель данных криптокошельков и браузеров, а также механизм для обеспечения постоянного доступа к скомпрометированной системе.

Начальная стадия заражения включает загрузку ZIP-архива, полученного через поддельную рекламу или из скомпрометированных результатов поиска. Внутри архива находится вредоносный код JavaScript, который скачивает дополнительные скрипты с удаленных серверов. Последующие команды передаются с командного сервера (C2) и выполняются в режиме реального времени, предоставляя злоумышленникам полный контроль над зараженной системой.

Аналитики предполагают связь PS1Bot с предыдущими кибератаками, организованными группировками Asylum Ambuscade и TA866, а также с вредоносной программой Skitnet (Bossnet), использовавшейся в атаках, включавших элементы программ-вымогателей.

По данным исследователей, особую опасность представляет встроенный модуль кражи криптовалютных данных: он обнаруживает файлы с паролями и seed-фразами, анализирует установленные кошельки и расширения для браузеров, после чего пересылает полученную информацию киберпреступникам.

Эксперты рекомендуют пользователям проявлять бдительность при скачивании программного обеспечения из рекламных объявлений или сомнительных источников, а также блокировать исполнение скриптов, находящихся в непроверенных ZIP-архивах.