Siber güvenlik araştırmacıları, kurbanları çok aşamalı bir kötü amaçlı yazılım çerçevesi ile enfekte etmek için tasarlanmış yeni bir kötü niyetli kampanyayı keşfettiler. Ps1bot.
Cisco Talos araştırmacıları Edmund Brumaghin ve Jordyn Dunk, “PS1BOT, enfekte sistemlerde bilgi hırsızlığı, keylogging, keşif ve kalıcı sistem erişiminin kurulması da dahil olmak üzere çeşitli kötü amaçlı aktiviteler gerçekleştirmek için kullanılan çeşitli modüllere sahip modüler bir tasarıma sahiptir.” Dedi.
“PS1BOT, enfekte sistemlerde kalan kalıcı eserleri en aza indirerek ve diske yazılmasını gerektirmeden takip modüllerinin yürütülmesini kolaylaştırmak için bellek içi yürütme tekniklerini birleştirerek, gizli olarak tasarlanmıştır.”
PowerShell ve C# kötü amaçlı yazılımları dağıtan kampanyalar, 2025’in başından beri aktif olduğu ve bir yayılma vektörü olarak kötüverizasyondan yararlandığı ve enfeksiyon zincirlerinin adli izi en aza indirmek için modülleri yazılı olarak kullandığı bulunmuştur. PS1BOT, daha önce tehdit aktörleri Asylum Ambuscade ve TA866 tarafından kullanıma sunulan Autohotkey tabanlı bir kötü amaçlı yazılım olan AHK BOT ile teknik örtüşmeler paylaşmak için değerlendirildi.
Ayrıca, etkinlik kümesi, verileri çalmak ve tehlikeye atılan ana bilgisayarlar üzerinde uzaktan kumanda oluşturmak amacıyla Skitnet (aka Bossnet) adlı bir kötü amaçlı yazılım kullanan önceki fidye yazılımı ile ilgili kampanyalarla örtüşen olarak tanımlanmıştır.
Saldırının başlangıç noktası, kötü niyetli veya arama motoru optimizasyonu (SEO) zehirlenmesi yoluyla kurbanlara teslim edilen sıkıştırılmış bir arşivdir. ZIP dosyasında, harici bir sunucudan bir komut dosyası almak için bir indirici görevi gören bir JavaScript yükü vardır, bu da daha sonra bir PowerShell komut dosyasını diskteki bir dosyaya yazar ve yürütür.
PowerShell komut dosyası, bir komut ve kontrol (C2) sunucusuyla iletişim kurmaktan ve operatörlerin kötü amaçlı yazılımların işlevselliğini modüler bir şekilde artırmasına ve tehlikeye atılan ana bilgisayarda geniş bir eylem yelpazesi gerçekleştirmesine izin veren sonraki aşamalı PowerShell komutlarını almaktan sorumludur-
- Enfekte sistemde bulunan antivirüs programlarının listesini elde eden ve rapor eden antivirüs tespiti
- Enfekte sistemlerde ekran görüntülerini yakalayan ve elde edilen görüntüleri C2 sunucusuna ileten ekran yakalama
- Web tarayıcılarından (ve cüzdan uzantılarından) verileri, kripto para birimi cüzdan uygulamaları için uygulama verileri ve şifreler, hassas ipler veya cüzdan tohum ifadeleri içeren dosyalardan alınan cüzdan Grabber
- Keystroker, tuş vuruşları ve pano içeriğini toplayan KeyLogger
- Enfekte sistem ve çevre hakkında bilgi toplayan ve saldırgana ileten bilgi toplama
- Bir PowerShell komut dosyası oluşturan Persistence, sistem yeniden başladığında otomatik olarak başlatılır ve modülleri almak için C2 yoklama işlemini oluşturmak için kullanılan aynı mantığı dahil eder.
Talos, “Bilgi Stealer modülü uygulaması, samanlanın enfekte sistemlerden puskulmaya çalıştığı kripto para birimi cüzdanlarına erişmek için kullanılabilecek şifreler ve tohum cümleleri içeren dosyaları numaralandırmak için çalkaya gömülü kelime listelerini kullanıyor.”
“Bu kötü amaçlı yazılımların uygulanmasının modüler doğası esneklik sağlar ve gerektiğinde güncellemelerin veya yeni işlevselliğin hızlı bir şekilde dağıtılmasını sağlar.”
Açıklama, Google’ın geçersiz trafik (IVT) ile mücadele etmek ve geçersiz davranışlar üreten reklam yerleşimlerini daha kesin olarak tanımlamak için büyük dil modelleri (LLMS) tarafından desteklenen yapay zeka (AI) sistemlerinden yararlandığını söylediği gibi geliyor.
Google, “Yeni uygulamalarımız, uygulama ve web içeriğini, reklam yerleşimlerini ve kullanıcı etkileşimlerini analiz ederek daha hızlı ve daha güçlü korumalar sağlıyor.” Dedi. “Örneğin, içerik inceleme yeteneklerimizi önemli ölçüde geliştirdiler, bu da IVT’de aldatıcı veya yıkıcı reklam servis uygulamalarından kaynaklanan% 40 azalmaya yol açtılar.”