Các nhà nghiên cứu của Cisco Talos đã phát hiện một chiến dịch mã độc rất tích cực, hoạt động từ đầu năm 2025. Chiến dịch này triển khai một framework đa giai đoạn tinh vi mang tên PS1Bot. Framework này chủ yếu được triển khai bằng PowerShell và C#.

Phân tích Khung Mối đe dọa mạng PS1Bot

Tác nhân đe dọa sử dụng kỹ thuật malvertising và SEO poisoning để phân phối các tệp lưu trữ nén. Tên tệp giả mạo các truy vấn tìm kiếm hợp pháp, ví dụ như “chapter 8 medicare benefit policy manual.zip” hoặc “pambu panchangam 2024-25 pdf.zip”.

Cơ chế lây nhiễm ban đầu và thực thi

Khi nạn nhân giải nén, họ sẽ gặp một tệp JavaScript có tên “FULL DOCUMENT.js”. Tệp này chứa VBScript bị che giấu, hoạt động như một trình tải xuống.

Script VBScript này sau đó lấy một scriptlet JScript từ máy chủ điều khiển của kẻ tấn công. Scriptlet này bắt đầu thiết lập môi trường bằng cách ghi một script PowerShell vào C:ProgramData (ví dụ: ntu.ps1) và thực thi nó để thăm dò máy chủ chỉ huy và kiểm soát (C2).

Kỹ thuật tấn công mạng và khai thác In-Memory

Cơ chế thăm dò tạo ra một URL duy nhất từ số serial của ổ đĩa C của hệ thống. Nó liên tục gọi Invoke-Expression (IEX) để chạy nội dung PowerShell được truy xuất trong bộ nhớ. Điều này giúp giảm thiểu các tạo phẩm trên đĩa và tăng cường khả năng ẩn mình của mã độc.

Thiết kế module này gợi nhớ đến các mối đe dọa trước đây như AHK Bot và có sự trùng lặp với cơ sở hạ tầng của Skitnet. Bao gồm các miền C2 được chia sẻ và các mẫu code, cho thấy mối liên hệ về mặt tiến hóa với các họ mã độc này. Tuy nhiên, không có việc phân phối nhị phân trực tiếp được quan sát trong các chuỗi phân tích.

Để biết thêm chi tiết về hoạt động của PS1Bot, có thể tham khảo báo cáo chính thức từ Talos tại blog.talosintelligence.com.

Kiến trúc Module của PS1Bot

Sự linh hoạt của PS1Bot đến từ hàng loạt các module có thể triển khai. Mỗi module được tùy chỉnh cho các chức năng độc hại cụ thể, đồng thời tích hợp tính năng ghi log thời gian chạy qua các yêu cầu HTTP GET với các tham số URL để cập nhật trạng thái.

Module phát hiện phần mềm bảo mật

Module này truy vấn Windows Management Instrumentation (WMI) để liệt kê các sản phẩm bảo mật đã cài đặt. Bao gồm Windows Defender. Các kết quả này được chuyển tiếp đến C2 để trinh sát hệ thống, giúp mã độc điều chỉnh hoạt động của nó.

Module chụp màn hình

Module này biên dịch động mã C# bằng cmdlet Add-Type của PowerShell. Nó tạo ra các assembly trong bộ nhớ để tạo ảnh chụp màn hình bitmap. Các ảnh này được lưu trữ tạm thời trong %TEMP% và %APPDATA%. Sau đó, chúng được mã hóa Base64 và gửi ra ngoài qua HTTP POST. Các tệp này bị xóa ngay lập tức để tránh bị phát hiện, một kỹ thuật tinh vi của mã độc.

Module Grabber: Kẻ đánh cắp thông tin

Module “grabber” là một kẻ đánh cắp thông tin mạnh mẽ. Nó nhắm mục tiêu dữ liệu trình duyệt từ hơn 40 biến thể, bao gồm Chrome, Edge và Brave. Nó cũng nhắm mục tiêu các tiện ích mở rộng tiền điện tử như MetaMask và Ledger. Các tệp được dàn dựng trong %TEMP% để nén và tải lên.

Module này mở rộng đến các ứng dụng ví cục bộ như Exodus và Electrum. Nó sử dụng các danh sách từ nhúng (bao gồm tiếng Anh, tiếng Séc và các cụm từ hạt giống crypto-specific) để quét hệ thống tệp. Mục tiêu là các tài liệu nhạy cảm phù hợp với các tiêu chí như phần mở rộng (.txt, .pdf) và kích thước dưới 100KB. Mục đích là để xác định mật khẩu hoặc hạt giống ví để rò rỉ dữ liệu riêng biệt.

Module Keylogging

Chức năng keylogging phản ánh cách tiếp cận này, biên dịch C# cho các hook SetWindowsHookEx() để bắt giữ các phím gõ, sự kiện chuột và dữ liệu clipboard. Các log này được truyền trong các body của HTTP POST.

using System.Runtime.InteropServices;

public class Keylogger
{
    [DllImport("user32.dll", CharSet = CharSet.Auto, SetLastError = true)]
    private static extern int SetWindowsHookEx(int idHook, LowLevelKeyboardProc lpfn, IntPtr hMod, uint dwThreadId);

    // ... other related code ...
}

Module khảo sát hệ thống

Module khảo sát hệ thống, “WMIComputerCSHARP,” thu thập chi tiết tên miền thông qua các truy vấn WMI và biến môi trường. Điều này hỗ trợ việc nhắm mục tiêu các mạng có giá trị cao, tăng khả năng xâm nhập của mã độc.

Cơ chế duy trì quyền truy cập (Persistence)

Quyền duy trì truy cập được thực hiện bằng cách tạo các thư mục ngẫu nhiên trong %PROGRAMDATA%. Các thư mục này chứa các script PowerShell bị che giấu được lấy từ các đường dẫn C2 như /transform. Chúng được liên kết qua các tệp LNK trong thư mục Startup để tồn tại sau khi khởi động lại. Hệ thống cũng có xử lý mutex để ngăn chặn các lần thực thi trùng lặp của mã độc.

Sự tiến hóa và các điểm trùng lặp của PS1Bot

Trong suốt năm 2025, PS1Bot đã thể hiện sự tiến hóa nhanh chóng. Các mẫu mới và cập nhật module thường xuyên được quan sát, cho thấy quá trình phát triển tích cực. Việc thực thi trong bộ nhớ và các tạo phẩm duy trì quyền truy cập tối thiểu làm phức tạp việc phân tích pháp y. Các điểm trùng lặp với cơ chế lấy C2 của AHK Bot và việc thăm dò theo module, cùng với những điểm tương đồng của PowerShell với Skitnet, cho thấy một hệ sinh thái các mối đe dọa nhắm mục tiêu Windows đang trưởng thành.

Talos đánh giá cao khả năng tồn tại các module bổ sung chưa được tiết lộ. Điều này cho phép kẻ tấn công thích nghi nhanh chóng cho mục đích gián điệp, trộm cắp tài chính hoặc di chuyển ngang trong mạng bị xâm nhập.

Biện pháp giảm thiểu rủi ro và phòng chống

Các tổ chức nên giám sát chặt chẽ hoạt động PowerShell bất thường, các truy vấn WMI lạ và các mồi nhử malvertising. Điều này giúp giảm thiểu tác động từ chiến dịch mã độc dai dẳng này và tăng cường an ninh mạng tổng thể.