Nieuwe malvertisingaanval verspreidt crypto-diefstal PS1Bot-malware

Onderzoekers van Cisco Talos hebben een gevaarlijk nieuw malwareframework ontdekt, genaamd PS1Bot. Deze geavanceerde dreiging, actief sinds begin 2025, verspreidt zich via malvertising en is ontworpen om cryptocurrency-wallets, wachtwoorden en andere gevoelige informatie te stelen.

Hackread.com heeft kennisgenomen van een nieuwe, zeer actieve cyberaanval dankzij onderzoek uitgevoerd door cybersecurity-experts van Cisco Talos. Hun technische blogpost, die exclusief met ons is gedeeld, beschrijft een nieuw type kwaadaardige software genaamd PS1Bot.

PS1Bot is een krachtig en sluw malwareframework dat sinds begin 2025 zeer actief is. Het dankt zijn naam deels aan het feit dat het is ontwikkeld met PowerShell, een programmeertaal die vaak wordt gebruikt op Windows-computers.

Wat PS1Bot zo gevaarlijk maakt, is zijn vermogen om meerdere schadelijke acties uit te voeren. Hij kan gevoelige informatie stelen, registreren wat je typt (een proces dat bekend staat als keylogging ) en screenshots van je computer maken. Hij kan zelfs je systeem overnemen en daar blijven, zelfs nadat je je computer opnieuw hebt opgestart.

Uit het onderzoek blijkt ook dat de malware bijzonder effectief is in het stelen van informatie . De malware is specifiek gericht op wachtwoorden, browsercookies en zelfs seedphrases van cryptowallets.

De malware is zo ontworpen dat hij moeilijk te detecteren is. Hij maakt gebruik van een slimme truc genaamd in-memory execution, wat betekent dat schadelijke programma's rechtstreeks in het geheugen van uw computer worden uitgevoerd in plaats van ze als bestanden op uw harde schijf op te slaan. Dit maakt het voor antivirussoftware veel moeilijker om ze te detecteren. Onderzoekers ontdekten ook dat de malware controleert of er antivirusprogramma's op een systeem zijn geïnstalleerd voordat hij de volledige aanval uitvoert.

Volgens onderzoek van Cisco Talos wordt de malware voornamelijk verspreid via kwaadaardige online advertenties, ook wel malvertising genoemd. Mensen die online zoeken naar veelvoorkomende zaken zoals "medicare benefit policy manual" of "Counting Canadian Money Worksheets (pdf)" kunnen naar een website worden geleid die stiekem een gecomprimeerd bestand naar hun computer downloadt. In deze bestanden bevindt zich een ogenschijnlijk onschuldig bestand met de naam FULL DOCUMENT.js dat, wanneer geopend, de PS1Bot-malware downloadt en uitvoert.

Het slachtoffer krijgt in eerste instantie een gecomprimeerd archief. De bestandsnamen die Talos in het wild heeft waargenomen, komen overeen met wat doorgaans wordt gezien tijdens zoekmachineoptimalisatie (SEO)-poisoning en/of malvertisingcampagnes, waarbij de bestandsnaam overeenkomt met de zoekterm die in de campagnes wordt gebruikt.

Cisco Talos

Cisco Talos heeft deze campagne het hele jaar gevolgd en een gestage stroom nieuwe versies van de malware waargenomen, wat suggereert dat de makers deze voortdurend verbeteren. De onderzoekers merkten overeenkomsten op tussen PS1Bot en andere malwarefamilies, zoals AHK Bot en Skitnet , wat suggereert dat dezelfde cybercriminelen mogelijk achter deze verschillende bedreigingen zitten.

Onderzoek toont aan dat deze malware een snel evoluerend en ernstig risico vormt voor iedereen die internet gebruikt. Om uzelf te beschermen, moet u altijd voorzichtig zijn met wat u downloadt. Zelfs als een bestandsnaam u bekend voorkomt, zoals een handleiding of document, wees dan wantrouwend als deze afkomstig is van een vreemde of onverwachte website. Vermijd ook het klikken op verdachte pop-upadvertenties en blijf bij betrouwbare websites.