Cisco Talos araştırmacıları, 2025’in başından beri aktif olan agresif bir kötü amaçlı yazılım kampanyası ortaya çıkardılar ve öncelikle PowerShell ve C#’da uygulanan ps1bot olarak adlandırılan sofistike çok aşamalı bir çerçeve kullandılar.
Bu tehdit oyuncusu, sıkıştırılmış arşivleri “Bölüm 8 Medicare Fayda Politikası Kılavuzu” veya “Pambu Panchangam 2024-25 PDF.ZIP” gibi meşru arama sorgularını taklit eden dosya adlarıyla dağıtmak için kötü niyetli ve SEO zehirlenmesinden yararlanır.
Çıkarma üzerine kurbanlar, indirici olarak hareket eden gizlenmiş VBScript içeren “Full Document.js” adlı bir JavaScript dosyasıyla karşılaşır.
Bu komut dosyası, saldırgan kontrollü bir sunucudan bir JScript komut dosyası getirerek, C: \ ProgramData \ (örneğin, NTU.PS1) için bir PowerShell komut dosyası yazarak ve bir komut ve kontrol (C2) sunucusunu anlatmak için yürüterek çevresel kurulum başlatır.
Yoklama mekanizması, sistemin C sürücü seri numarasından benzersiz bir URL türetir ve geri alınan PowerShell içeriğini bellek içinde çalıştırmak, disk artefaktlarını en aza indirmek ve gizliliği geliştirmek için Invoke-ekspresyonunu (IEX) tekrar tekrar çağırır.
Bu modüler tasarım, AHK botu gibi önceki tehditleri yansıtıyor ve paylaşılan C2 alanları ve kod desenleri de dahil olmak üzere skitnet altyapısı ile örtüşüyor ve analiz edilen zincirlerde doğrudan ikili dağıtım olmadan bu ailelerle evrimsel bağlar öneriyor.
Casusluk ve hırsızlık için gelişmiş modüller
PS1BOT’un esnekliği, her biri belirli kötü amaçlı işlevler için tasarlanmış, Durum Güncellemeleri için HTTP GET isteklerini URL parametreleriyle içeren belirli kötü amaçlı işlevler için tasarlanan dizilebilen modüllerden kaynaklanır.
Bir Antivirüs Algılama Modülü, Windows Defender gibi yüklü güvenlik ürünlerini numaralandırmak için Windows Management Enstrümantasyonunu (WMI) sorgular ve sonuçları keşif için C2’ye aktarır.
Bunu takiben, bir ekran yakalama modülü, PowerShell’in eklenti tipi cmdlet’ini kullanarak dinamik olarak C# kodunu derler, bellek içi montajlar üretir ve geçici olarak %sıcaklık %ve %appdata %, daha sonra Base64-kodlanmış ve daha sonra HTTP Post ile solundu, derhal HTTP Post ile Setpented.
Güçlü bir bilgi çalma olan “Grabber” modülü, Metamask ve Ledger gibi kripto para uzantılarının yanı sıra Chrome, Edge ve Cesur da dahil olmak üzere 40’tan fazla varyanttan tarayıcı verilerini hedefler, dosyaları sıkıştırma ve yükleme için % sıcaklık % ayarlayın.
Exodus ve Electrum gibi yerel cüzdan uygulamalarına uzanır, uzantılar (.txt, .pdf) ve 100KB’lık gibi boyutlarda, parola veya cüzdan tohumlarını tanımlayarak, 100kB’lık gibi hassas belgeler için dosya sistemlerini taramak için İngilizce, Çek ve kriptoya özgü tohum ifadelerini kullanan, parolaları veya cüzdanlı tohumları tanımlar.
Keylogging işlevselliği bu yaklaşımı yansıtır ve setWindowShookex () kancaları için tuş vuruşlarını, fare olaylarını ve pano verilerini yakalamak için C# derler, HTTP post body’de günlükleri aktarır.
Bir sistem anket modülü olan “WMICOMPUTERCSharp”, yüksek değerli ağları hedeflemeye yardımcı olan WMI sorguları ve çevre değişkenleri aracılığıyla etki alanı ayrıntılarını toplar.
Kalıcılık, %programda %randomize dizinler oluşturularak, yeniden başlatma klasöründeki LNK dosyaları aracılığıyla bağlantılı, çoğaltma yürütmelerini önlemek için muteks taşıma ile tamamlanan C2 yollarından /dönüşüm gibi C2 yollarından alınmış gizlenmiş PowerShell komut dosyaları oluşturarak elde edilir.
Gelişen tehdit manzarası
2025 boyunca PS1BOT, aktif gelişimi gösteren sık sık yeni örnekler ve modül güncellemeleri gözlemlenerek hızlı evrim göstermiştir.
Bellek içi yürütülmesi ve minimal kalıcılık artefaktları adli analizi karmaşıklaştırırken, AHK Bot’un C2 türetimi ve modüler yoklama ve Skitnet’in PowerShell benzerlikleri ile örtüşüyor, pencere hedefli tehditlerin olgunlaşan bir ekosistemine işaret ediyor.
Rapora göre Talos, açıklanmayan ek modüllere olan yüksek güveni değerlendirerek rakiplerin casusluk, finansal hırsızlık veya yanal hareket için hızla uyum sağlamalarını sağlıyor.
Organizasyonlar, bu kalıcı kampanyayı azaltmak için anormal Powershell faaliyetini, olağandışı WMI sorgularını ve kötü niyetli yemleri izlemelidir.
AWS Security Services: 10-Point Executive Checklist - Download for Free