CyberThao
Writer
Các nhà nghiên cứu an ninh mạng Cisco Talos phát hiện một chiến dịch quảng cáo độc hại mới, triển khai phần mềm độc hại nhiều giai đoạn mang tên PS1Bot. Đây là mã độc dạng mô-đun, có thể thực hiện nhiều tác vụ như đánh cắp thông tin, ghi lại thao tác bàn phím, do thám hệ thống và duy trì quyền truy cập lâu dài.
PS1Bot được thiết kế để hoạt động ẩn, hạn chế dấu vết còn lại và dùng kỹ thuật thực thi trong bộ nhớ nhằm triển khai mô-đun tiếp theo mà không cần ghi vào đĩa. Chiến dịch này lợi dụng quảng cáo độc hại và SEO đầu độc để phát tán, tương tự các phần mềm AHK Bot từng được nhóm Asylum Ambuscade và TA866 sử dụng. Ngoài ra, nó còn liên quan đến các chiến dịch dùng Skitnet (Bossnet) để đánh cắp dữ liệu và kiểm soát máy chủ từ xa.
Quy trình tấn công bắt đầu bằng một tệp ZIP chứa mã JavaScript được gửi qua quảng cáo hoặc kết quả tìm kiếm bị đầu độc. Mã này tải scriptlet từ máy chủ bên ngoài, ghi và thực thi tập lệnh PowerShell. Tập lệnh sẽ kết nối máy chủ C2 để nhận lệnh mới, bổ sung chức năng theo mô-đun, bao gồm:
Đọc chi tiết tại đây: https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html
PS1Bot được thiết kế để hoạt động ẩn, hạn chế dấu vết còn lại và dùng kỹ thuật thực thi trong bộ nhớ nhằm triển khai mô-đun tiếp theo mà không cần ghi vào đĩa. Chiến dịch này lợi dụng quảng cáo độc hại và SEO đầu độc để phát tán, tương tự các phần mềm AHK Bot từng được nhóm Asylum Ambuscade và TA866 sử dụng. Ngoài ra, nó còn liên quan đến các chiến dịch dùng Skitnet (Bossnet) để đánh cắp dữ liệu và kiểm soát máy chủ từ xa.
Quy trình tấn công bắt đầu bằng một tệp ZIP chứa mã JavaScript được gửi qua quảng cáo hoặc kết quả tìm kiếm bị đầu độc. Mã này tải scriptlet từ máy chủ bên ngoài, ghi và thực thi tập lệnh PowerShell. Tập lệnh sẽ kết nối máy chủ C2 để nhận lệnh mới, bổ sung chức năng theo mô-đun, bao gồm:
- Phát hiện và báo cáo phần mềm diệt virus.
- Chụp ảnh màn hình và gửi về máy chủ C2.
- Đánh cắp dữ liệu ví tiền điện tử, thông tin đăng nhập trình duyệt, ứng dụng ví, mật khẩu, cụm từ hạt giống.
- Ghi lại thao tác bàn phím, thu thập nội dung bảng tạm.
- Thu thập thông tin hệ thống và môi trường.
- Duy trì sự tồn tại bằng cách thiết lập tập lệnh PowerShell tự khởi chạy khi bật máy.
Biện pháp phòng thủ và phản ứng của Google
PS1Bot có tính mô-đun, cho phép nhanh chóng cập nhật hoặc thêm chức năng mới, khiến việc ngăn chặn trở nên khó khăn. Trong khi đó, Google thông báo đang dùng hệ thống AI dựa trên mô hình ngôn ngữ lớn (LLM) để phát hiện và giảm lưu lượng truy cập không hợp lệ (IVT) từ quảng cáo độc hại. Công nghệ này đã giúp giảm 40% IVT từ hoạt động quảng cáo lừa đảo hoặc gây rối bằng cách phân tích nội dung, vị trí đặt quảng cáo và hành vi người dùng.Đọc chi tiết tại đây: https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview