新的 PS1Bot 恶意软件活动利用恶意广告部署多阶段内存攻击

思科 Talos 研究人员 Edmund Brumaghin 和 Jordyn Dunk表示：“PS1Bot 采用模块化设计，配备了多个模块，可用于在受感染的系统上执行各种恶意活动，包括信息窃取、键盘记录、侦察和建立持久系统访问。”

PS1Bot 的设计充分考虑了隐身性，最大限度地减少了受感染系统上留下的持久痕迹，并结合了内存执行技术，以便于后续模块的执行，而无需将其写入磁盘。

传播 PowerShell 和 C# 恶意软件的活动自 2025 年初以来一直活跃，利用恶意广告作为传播媒介，感染链在内存中执行模块，以最大程度地减少取证线索。PS1Bot 经评估与 AHK Bot 存在技术重叠，AHK Bot 是一款基于 AutoHotkey 的恶意软件，此前曾被威胁行为者Asylum Ambuscade和TA866使用。

网络安全
此外，该活动集群已被确定为与以前的勒索软件相关活动重叠，利用名为Skitnet（又名 Bossnet）的恶意软件，目的是窃取数据并对受感染主机建立远程控制。

攻击的起点是一个压缩文件，通过恶意广告或搜索引擎优化 (SEO) 中毒发送给受害者。ZIP 文件中包含一个 JavaScript 有效载荷，该载荷充当下载程序，用于从外部服务器检索脚本片段，然后将 PowerShell 脚本写入磁盘上的文件并执行。

PowerShell 脚本负责联系命令和控制 (C2) 服务器并获取下一阶段的 PowerShell 命令，这些命令允许操作员以模块化方式增强恶意软件的功能，并在受感染的主机上执行各种操作 -

防病毒检测，获取并报告受感染系统上存在的防病毒程序列表
屏幕截图，捕获受感染系统的屏幕截图，并将生成的图像传输到 C2 服务器
钱包窃取程序，窃取网络浏览器（和钱包扩展程序）的数据、加密货币钱包应用程序的应用程序数据以及包含密码、敏感字符串或钱包种子短语的文件
键盘记录器，用于记录击键并收集剪贴板内容
信息收集，收集有关受感染系统和环境的信息并将其传输给攻击者
持久性，创建一个 PowerShell 脚本，使其在系统重启时自动启动，并采用与建立 C2 轮询过程以获取模块相同的逻辑
Talos 指出：“信息窃取器模块的实现利用嵌入在窃取器中的单词列表来枚举包含可用于访问加密货币钱包的密码和种子短语的文件，窃取器还试图从受感染的系统中窃取这些文件。”

身份安全风险评估
“该恶意软件实施的模块化特性提供了灵活性，并能够根据需要快速部署更新或新功能。”

谷歌表示，它正在利用由大型语言模型 (LLM) 驱动的人工智能 (AI) 系统来打击无效流量 ( IVT )，并更准确地识别产生无效行为的广告位置。

谷歌表示： “我们的新应用程序通过分析应用和网络内容、广告投放和用户互动，提供了更快、更强大的保护。例如，它们显著提升了我们的内容审查能力，使因欺骗性或破坏性广告投放行为而产生的 IVT 减少了 40%。”