15/08/25
Эта сложная система сочетает модули на PowerShell и C#, предназначенные для кражи данных, шпионажа и устойчивого доступа к заражённой системе, при этом активно используя механизмы маскировки и работы исключительно в памяти, чтобы затруднить анализ.
Согласно отчёту, PS1Bot построен по модульной архитектуре, которая позволяет динамически подгружать дополнительные компоненты с командного сервера в обход дисковой записи, пишет Securitylab. Такой подход даёт злоумышленникам гибкость при расширении функциональности вредоноса и делает его крайне трудным для обнаружения. В цепочке заражения задействованы техники SEO-подмены и реклама с вредоносными ZIP-архивами, содержащими JavaScript-загрузчики. Эти скрипты скачивают внешний скриптлет, который разворачивает на диске PowerShell -код и немедленно его исполняет.
На следующем этапе PowerShell-скрипт связывается с C2-сервером и получает команды, активирующие различные модули. Среди них:
- Модуль сбора информации о системе и установленном антивирусе;
- Перехват содержимого буфера обмена;
- Снятие скриншотов с последующей передачей на удалённый сервер;
- Инструмент для кражи данных криптокошельков , паролей, сид-фраз и конфиденциальных файлов;
- Компонент обеспечения устойчивости, автоматически запускающий PowerShell при перезагрузке, включая встроенную логику периодического подключения к C2.
Особо подчёркивается, что модуль кражи данных использует встроенные словари для поиска файлов, содержащих чувствительную информацию, а также взаимодействует с браузерами и десктопными криптокошельками.
PS1Bot технически пересекается с вредоносным ПО AHK Bot, построенным на AutoHotkey и ранее применявшимся группировками Asylum Ambuscade и TA866 . Более того, следы активности совпадают с предыдущими кампаниями, связанными с вымогателями и вредоносом Skitnet (также известным как Bossnet), использовавшимся для кражи информации и удалённого управления скомпрометированными системами.
