Новая вредоносная атака распространяет вредоносное ПО PS1Bot, крадущее криптовалюту

Исследователи Cisco Talos обнаружили новый опасный вредоносный фреймворк под названием PS1Bot. Эта сложная угроза, действующая с начала 2025 года, распространяется через вредоносную рекламу и предназначена для кражи криптовалютных кошельков, паролей и другой конфиденциальной информации.

Hackread.com узнал о новой, чрезвычайно активной кибератаке благодаря исследованию, проведённому экспертами по кибербезопасности из Cisco Talos. В их технической публикации в блоге, опубликованной эксклюзивно для нас, подробно описывается новый тип вредоносного ПО под названием PS1Bot.

PS1Bot — это мощный и скрытый вредоносный фреймворк, который проявляет большую активность с начала 2025 года. Свое название он получил отчасти из-за того, что создан с помощью PowerShell, языка программирования, часто используемого на компьютерах под управлением Windows.

PS1Bot настолько опасен, поскольку способен выполнять множество вредоносных действий. Он может красть конфиденциальную информацию, записывать вводимые вами данные (этот процесс известен как кейлоггер ) и делать снимки экрана вашего компьютера. Он может даже захватить контроль над вашей системой и оставаться в ней даже после перезагрузки компьютера.

В исследовании также подчеркиваются особенно эффективные возможности вредоносного ПО по краже информации : отмечается, что оно специально атакует пароли, файлы cookie браузера и даже начальные фразы криптовалютных кошельков.

Вредоносное ПО разработано таким образом, чтобы его было сложно обнаружить. Оно использует хитрый трюк, называемый выполнением в оперативной памяти, то есть запускает свои вредоносные программы непосредственно в памяти компьютера, а не сохраняет их в виде файлов на жёстком диске. Это значительно затрудняет обнаружение антивирусным ПО. Исследователи также обнаружили, что вредоносное ПО проверяет наличие антивирусных программ в системе, прежде чем начать полноценную атаку.

Согласно исследованию Cisco Talos, вредоносное ПО распространяется преимущественно через вредоносную онлайн-рекламу, также известную как вредоносная реклама . Пользователи, ищущие в интернете распространённые запросы, такие как «руководство по страхованию Medicare» или «рабочие листы по подсчёту канадских денег в формате PDF», могут попасть на сайт, который тайно загружает на их компьютер сжатый файл. Внутри этих файлов находится на первый взгляд безобидный файл FULL DOCUMENT.js , который при открытии загружает и запускает вредоносное ПО PS1Bot.

«Изначально жертве доставляется сжатый архив. Имена файлов, которые Talos обнаружил в реальных условиях, соответствуют тому, что обычно встречается во время SEO-заражений и/или вредоносной рекламы, когда имя файла совпадает с ключевой фразой, на которую нацелены эти кампании».

Cisco Талос

Компания Cisco Talos отслеживала эту кампанию весь год и наблюдала постоянный поток новых версий вредоносного ПО, что говорит о его постоянной доработке. Исследователи отметили сходство между PS1Bot и другими семействами вредоносных программ, такими как AHK Bot и Skitnet , что позволяет предположить, что за этими угрозами могут стоять одни и те же киберпреступники.

Исследование показывает, что это вредоносное ПО быстро развивается и представляет серьёзную угрозу для всех пользователей интернета. Чтобы защитить себя, всегда будьте осторожны с тем, что загружаете. Даже если название файла кажется знакомым, например, руководство или документ, отнеситесь с подозрением, если он находится на странном или неожиданном сайте. Также избегайте подозрительных всплывающих окон с рекламой и используйте только проверенные сайты.