Neuer Malvertising-Angriff verbreitet Krypto-stehlende PS1Bot-Malware

Forscher von Cisco Talos haben ein gefährliches neues Malware-Framework namens PS1Bot entdeckt. Diese ausgeklügelte Bedrohung ist seit Anfang 2025 aktiv, verbreitet sich über Malvertising und ist darauf ausgelegt, Kryptowährungs-Wallets, Passwörter und andere sensible Informationen zu stehlen.

Hackread.com hat durch Untersuchungen der Cybersicherheitsexperten von Cisco Talos von einem neuen, hochaktiven Cyberangriff erfahren. Ihr exklusiv mit uns geteilter technischer Blogbeitrag beschreibt eine neue Art von Schadsoftware namens PS1Bot.

PS1Bot ist ein leistungsstarkes und hinterhältiges Malware-Framework, das seit Anfang 2025 sehr aktiv ist. Seinen Namen verdankt es unter anderem der Tatsache, dass es mit PowerShell erstellt wurde, einer Programmiersprache, die häufig auf Windows-Computern verwendet wird.

Was PS1Bot so gefährlich macht, ist seine Fähigkeit, zahlreiche schädliche Aktionen auszuführen. Er kann vertrauliche Informationen stehlen, Ihre Eingaben aufzeichnen (ein Vorgang, der als Keylogging bezeichnet wird) und Screenshots Ihres Computers erstellen. Er kann sogar Ihr System übernehmen und dort auch nach einem Neustart des Computers bleiben.

Die Untersuchung hebt auch die besonders effektiven Möglichkeiten der Malware zum Diebstahl von Informationen hervor und weist darauf hin, dass sie speziell auf Passwörter, Browser-Cookies und sogar Seed-Phrasen von Kryptowährungs-Wallets abzielt.

Die Malware ist so konzipiert, dass sie schwer zu erkennen ist. Sie nutzt einen cleveren Trick namens In-Memory-Ausführung. Das bedeutet, dass die schädlichen Programme direkt im Arbeitsspeicher Ihres Computers ausgeführt werden, anstatt sie als Dateien auf Ihrer Festplatte zu speichern. Dadurch ist sie für Antivirensoftware deutlich schwerer zu erkennen. Forscher fanden außerdem heraus, dass die Malware prüft, ob auf einem System Antivirenprogramme installiert sind, bevor sie ihren Angriff startet.

Laut einer Studie von Cisco Talos wird die Malware hauptsächlich über bösartige Online-Werbung (auch bekannt als Malvertising) verbreitet. Nutzer, die online nach gängigen Begriffen wie „Medicare Benefit Policy Manual“ oder „Counting Canadian Money Worksheets Pdf“ suchen, werden möglicherweise auf eine Website geleitet, die heimlich eine komprimierte Datei auf ihren Computer herunterlädt. Diese Datei enthält eine scheinbar harmlose Datei namens FULL DOCUMENT.js , die beim Öffnen die PS1Bot-Malware herunterlädt und ausführt.

Dem Opfer wird zunächst ein komprimiertes Archiv bereitgestellt. Die von Talos beobachteten Dateinamen entsprechen denen, die typischerweise bei SEO-Poisoning- und/oder Malvertising-Kampagnen auftreten. Dabei entspricht der Dateiname der Keyword-Phrase, auf die die Kampagnen abzielen.

Cisco Talos

Cisco Talos hat diese Kampagne das ganze Jahr über verfolgt und einen stetigen Strom neuer Versionen der Malware festgestellt, was darauf schließen lässt, dass die Entwickler sie ständig verbessern. Die Forscher stellten Ähnlichkeiten zwischen PS1Bot und anderen Malware-Familien wie AHK Bot und Skitnet fest, was darauf schließen lässt, dass hinter diesen unterschiedlichen Bedrohungen möglicherweise dieselben Cyberkriminellen stecken.

Untersuchungen zeigen, dass diese Malware ein sich schnell entwickelndes und ernstzunehmendes Risiko für jeden Internetnutzer darstellt. Um sich zu schützen, sollten Sie immer vorsichtig sein, was Sie herunterladen. Selbst wenn Ihnen ein Dateiname bekannt vorkommt, wie etwa ein Handbuch oder ein Dokument, sollten Sie misstrauisch sein, wenn er von einer unbekannten oder unerwarteten Website stammt. Vermeiden Sie außerdem das Klicken auf verdächtige Pop-up-Werbung und bleiben Sie nur auf seriösen Websites.