揭露 PS1Bot 惡意軟體新威脅：利用惡意廣告進行多階段記憶體攻擊

PS1Bot 的技術特點與攻擊流程

PS1Bot 最顯著的特點在於其強烈的隱蔽性。它將 PowerShell 和 C# 語言結合，並特別注重在受感染系統上減少持續性痕跡。它廣泛使用 記憶體內執行（in-memory execution）技術，這意味著攻擊模組在載入後會直接在系統記憶體中運行，而非寫入硬碟。這種技術大大增加了資安鑑識的難度，使得惡意軟體的追蹤和清除變得更加困難。

整個攻擊流程從惡意廣告或搜尋引擎優化（SEO）中毒開始，攻擊者透過這些方式將一個壓縮檔傳送給受害者。這個 ZIP 壓縮檔包含一個 JavaScript 酬載，其功能是作為下載器，從外部伺服器獲取一個指令碼，再由該指令碼將一個 PowerShell 腳本寫入硬碟並執行。這個 PowerShell 腳本扮演了核心角色，它會與 命令與控制（C2） 伺服器進行通訊，並下載下一階段的 PowerShell 指令。

這些下一階段的指令便是 PS1Bot 的模組化功能所在，使攻擊者能夠根據需求，靈活地擴展惡意軟體的功能。這些模組包括：

• 防毒軟體偵測： 該模組會獲取並回傳受感染系統上的防毒軟體清單，協助攻擊者調整其攻擊策略。
• 螢幕截圖： 能夠在受感染系統上截取螢幕畫面，並將圖像傳送回 C2 伺服器。
• 錢包竊取器： 專門竊取來自網路瀏覽器（及其錢包擴充功能）、加密貨幣錢包應用程式的資料，以及包含密碼和助記詞的檔案。
• 鍵盤側錄： 記錄鍵盤輸入並收集剪貼簿內容，以便竊取用戶的敏感資訊。
• 資訊收集： 收集並傳輸有關受感染系統和環境的詳細資訊給攻擊者。
• 持久性存取： 建立 PowerShell 腳本，使其在系統重啟時自動啟動，確保攻擊者能持續存取受害系統。

與其他惡意軟體的關聯與防禦建議

研究人員發現，PS1Bot 在技術上與 AHK Bot（一種基於 AutoHotkey 的惡意軟體）存在重疊之處，而 AHK Bot 過去曾被名為 Asylum Ambuscade 和 TA866 的威脅行為者所使用。此外，此活動集群也被發現與先前利用名為 Skitnet（又名 Bossnet）的惡意軟體進行的勒索軟體活動有所關聯，其目的同樣是竊取資料並建立遠端控制。

面對 PS1Bot 及其類似威脅，企業和個人應採取多重防禦措施。除了保持作業系統與應用程式的最新修補狀態外，安裝並定期更新高品質的防毒軟體至關重要。同時，應提高對惡意廣告和釣魚郵件的警覺性，避免點擊可疑連結或下載不明來源的檔案。對於企業而言，實施嚴格的網路分段、最小權限原則及持續的威脅監控，將有助於及早發現並阻斷此類多階段攻擊的傳播。

資料來源：https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html