New PS1Bot Malware Campaign Uses Malvertising to Deploy Multi-Stage In-Memory Attacks

Campagne Malvertising : Diffusion du Malware PS1Bot

Une nouvelle campagne de malvertising a été identifiée, distribuant un framework malveillant modulaire connu sous le nom de PS1Bot. Ce logiciel, développé en PowerShell et C#, cible les utilisateurs depuis le début de l’année 2025. Son mode de propagation principal est le malvertising, consistant à afficher des publicités malveillantes pour tromper les victimes. Une optimisation des moteurs de recherche (SEO poisoning) est également utilisée comme vecteur d’infection.

Le logiciel est conçu pour une exécution furtive, minimisant les traces sur le système infecté grâce à des techniques d’exécution en mémoire vive. Cela permet d’exécuter des modules de suivi sans avoir à les écrire sur le disque, rendant ainsi les investigations forensiques plus complexes. PS1Bot présente des similitudes techniques avec d’autres malwares comme AHK Bot, précédemment utilisé par des groupes tels qu’Asylum Ambuscade et TA866. Des liens avec des campagnes passées de ransomware utilisant le malware Skitnet (ou Bossnet) pour le vol de données et le contrôle à distance ont également été observés.

Points clés et fonctionnement :

• Infection initiale : L’attaque commence par une archive compressée (ZIP) livrée via malvertising ou SEO poisoning.
• Chargement du payload : Le fichier ZIP contient une charge utile JavaScript qui télécharge un scriptlet depuis un serveur externe. Ce scriptlet écrit un script PowerShell sur le disque et l’exécute.
• Communication C2 : Le script PowerShell contacte un serveur de commande et contrôle (C2) pour récupérer des commandes de suivi.
• Modularité : Le malware possède une conception modulaire, permettant aux opérateurs d’ajouter des fonctionnalités et d’exécuter une large gamme d’actions malveillantes.

Fonctionnalités des modules :

• Détection antivirus : Récupère et rapporte la liste des antivirus présents sur le système infecté.
• Capture d’écran : Prend des captures d’écran et les transmet au serveur C2.
• Vol de portefeuilles de cryptomonnaies : Extrait des données des navigateurs web, des extensions de portefeuille, des applications de portefeuille de cryptomonnaies et de fichiers contenant des mots de passe ou des phrases de récupération.
• Keylogger : Enregistre les frappes au clavier et capture le contenu du presse-papiers.
• Collecte d’informations : Rassemble des informations sur le système et l’environnement infecté pour les transmettre à l’attaquant.
• Persistance : Crée un script PowerShell pour un lancement automatique au redémarrage du système, maintenant la connexion au serveur C2 pour récupérer de nouveaux modules.

L’implémentation du module de vol d’informations utilise des listes de mots intégrées pour identifier et exfiltrer des fichiers contenant des mots de passe et des phrases de récupération pour les portefeuilles de cryptomonnaies. Cette modularité offre une grande flexibilité aux attaquants pour déployer rapidement des mises à jour ou de nouvelles fonctionnalités.

Recommandations :

Bien que l’article ne fournisse pas de recommandations spécifiques, la nature de la menace suggère des mesures générales de cybersécurité :

• Vigilance accrue face aux publicités en ligne : Éviter de cliquer sur des publicités suspectes ou non sollicitées.
• Utilisation d’un logiciel antivirus à jour : Maintenir un logiciel de sécurité performant et régulièrement mis à jour.
• Mises à jour système et logicielles : Appliquer les derniers correctifs de sécurité pour les systèmes d’exploitation et les applications.
• Prudence lors du téléchargement de fichiers : Être méfiant à l’égard des archives compressées provenant de sources inconnues ou suspectes.
• Sauvegardes régulières : Effectuer des sauvegardes régulières des données importantes pour se prémunir contre la perte de données.
• Sensibilisation à la sécurité : Informer les utilisateurs sur les risques liés au malvertising et aux techniques d’ingénierie sociale.

Source