2025年8月13日Ravie Lakshmananマルバタイジング / 暗号通貨
サイバーセキュリティ研究者は、被害者にPS1Botと呼ばれる多段階マルウェアフレームワークを感染させることを目的とした新たなマルバタイジングキャンペーンを発見しました。
「PS1Botはモジュール式の設計となっており、複数のモジュールが配信され、感染システム上で情報窃取、キーロギング、偵察、永続的なシステムアクセスの確立など、さまざまな悪意のある活動を行うために使用されます」とCisco Talosの研究者Edmund Brumaghin氏とJordyn Dunk氏は述べています。
「PS1Botはステルス性を重視して設計されており、感染システム上に残る永続的な痕跡を最小限に抑え、メモリ内実行技術を組み込むことで、後続モジュールをディスクに書き込むことなく実行できるようになっています。」
このPowerShellおよびC#マルウェアを配布するキャンペーンは2025年初頭から活動していることが確認されており、マルバタイジングを拡散経路として利用し、感染チェーンはモジュールをメモリ内で実行することでフォレンジック上の痕跡を最小限に抑えています。PS1Botは、以前脅威アクターによって使用されたAutoHotkeyベースのマルウェアであるAHK Botと技術的な類似点を共有していると評価されています(Asylum AmbuscadeやTA866によるもの)。
さらに、この活動クラスターは、Skitnet(別名Bossnet)というマルウェアを利用した過去のランサムウェア関連キャンペーンと重複していることが確認されており、データ窃取や侵害ホストへのリモートコントロールの確立を目的としています。
攻撃の出発点は、マルバタイジングや検索エンジン最適化(SEO)ポイズニングを通じて被害者に配布される圧縮アーカイブです。ZIPファイル内にはJavaScriptペイロードが含まれており、これはダウンローダーとして機能し、外部サーバーからスクリプトレットを取得します。その後、PowerShellスクリプトをディスク上のファイルに書き込み、実行します。
このPowerShellスクリプトは、コマンド&コントロール(C2)サーバーに接続し、次段階のPowerShellコマンドを取得する役割を担っています。これにより、オペレーターはマルウェアの機能をモジュール式に拡張し、侵害されたホスト上で幅広いアクションを実行できます。
- ウイルス対策検出:感染システム上に存在するウイルス対策プログラムのリストを取得し、報告する
- スクリーンキャプチャ:感染システム上のスクリーンショットを取得し、生成された画像をC2サーバーに送信する
- ウォレットグラバー:ウェブブラウザ(およびウォレット拡張機能)、暗号通貨ウォレットアプリケーションのアプリケーションデータ、パスワードや機密文字列、ウォレットのシードフレーズを含むファイルからデータを窃取する
- キーロガー:キーストロークを記録し、クリップボードの内容を収集する
- 情報収集:感染システムおよび環境に関する情報を収集し、攻撃者に送信する
- 永続化:PowerShellスクリプトを作成し、システム再起動時に自動的に起動するようにし、C2ポーリングプロセスを確立するための同じロジックを組み込んでモジュールを取得する
「情報窃取モジュールの実装では、窃取ツールに埋め込まれたワードリストを利用して、パスワードやシードフレーズを含むファイルを列挙し、これらを利用して暗号通貨ウォレットへアクセスできるようにします。窃取ツールはこれらの情報も感染システムから流出させようとします」とTalosは指摘しています。
「このマルウェアの実装がモジュール式であることにより、柔軟性が確保され、必要に応じて迅速にアップデートや新機能を展開できるようになっています。」
この発表は、Googleが大規模言語モデル(LLM)を活用した人工知能(AI)システムを利用し、不正トラフィック(IVT)と戦い、不正な動作を生み出す広告掲載箇所をより正確に特定していると述べたことを受けてのものです。
「私たちの新しいアプリケーションは、アプリやウェブコンテンツ、広告掲載箇所、ユーザーのインタラクションを分析することで、より迅速かつ強力な保護を提供します」とGoogleは述べています。「例えば、コンテンツ審査能力が大幅に向上し、欺瞞的または迷惑な広告配信によるIVTが40%削減されました。」
翻訳元: https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html