Yeni Kötü Amaçlı Reklam Saldırısı Kripto Çalan PS1Bot Kötü Amaçlı Yazılımını Yayıyor

Cisco Talos araştırmacıları, PS1Bot adlı tehlikeli yeni bir kötü amaçlı yazılım çerçevesi keşfetti. 2025'in başından beri aktif olan bu gelişmiş tehdit, kötü amaçlı reklamlar aracılığıyla yayılıyor ve kripto para cüzdanlarını, parolaları ve diğer hassas bilgileri çalmak için tasarlanmış.

Hackread.com, Cisco Talos siber güvenlik uzmanları tarafından yürütülen bir araştırmadan, yeni ve oldukça aktif bir siber saldırı hakkında bilgi edindi. Bizimle özel olarak paylaşılan teknik blog yazılarında, PS1Bot adı verilen yeni bir kötü amaçlı yazılım türü ayrıntılı olarak anlatılıyor.

PS1Bot, 2025'in başından beri oldukça aktif olan güçlü ve sinsi bir kötü amaçlı yazılım çerçevesidir. Adını kısmen, Windows bilgisayarlarda sıklıkla kullanılan bir programlama dili olan PowerShell ile oluşturulmuş olmasından alır.

PS1Bot'u bu kadar tehlikeli kılan şey, birden fazla zararlı eylem gerçekleştirebilme yeteneğidir. Hassas bilgileri çalabilir, yazdıklarınızı kaydedebilir ( tuş kaydı olarak bilinen bir işlem) ve bilgisayarınızın ekran görüntülerini alabilir. Hatta sisteminizi ele geçirip bilgisayarınızı yeniden başlattıktan sonra bile orada kalabilir.

Araştırmada ayrıca kötü amaçlı yazılımın özellikle etkili bilgi çalma yetenekleri vurgulanarak, özellikle parolaları, tarayıcı çerezlerini ve hatta kripto para cüzdanı tohum ifadelerini hedef aldığı belirtiliyor.

Kötü amaçlı yazılım, tespit edilmesi zor olacak şekilde tasarlanmıştır. Bellek içi yürütme adı verilen akıllıca bir yöntem kullanır; bu, zararlı programlarını sabit diskinize dosya olarak kaydetmek yerine doğrudan bilgisayarınızın belleğinde çalıştırdığı anlamına gelir. Bu, antivirüs yazılımlarının tespit etmesini çok daha zorlaştırır. Araştırmacılar ayrıca, kötü amaçlı yazılımın tam saldırısına başlamadan önce sistemde antivirüs programlarının yüklü olup olmadığını kontrol ettiğini de keşfettiler.

Cisco Talos araştırmasına göre, kötü amaçlı yazılım öncelikle kötü amaçlı çevrimiçi reklamcılık, yani kötü amaçlı reklamcılık yoluyla yayılıyor. İnternette "medicare fayda politikası kılavuzu" veya "Kanada Para Sayma Çalışma Sayfaları PDF'si" gibi yaygın aramalar yapan kişiler, bilgisayarlarına gizlice sıkıştırılmış bir dosya indiren bir web sitesine yönlendirilebilir. Bu dosyaların içinde, açıldığında PS1Bot kötü amaçlı yazılımını indirip çalıştıran, görünüşte zararsız bir dosya olan FULL DOCUMENT.js bulunur.

"Kurbana başlangıçta sıkıştırılmış bir arşiv teslim edilir. Talos'un internette gözlemlediği dosya adları, arama motoru optimizasyonu (SEO) zehirlenmesi ve/veya kötü amaçlı reklam kampanyalarında sıklıkla görülen dosya adlarıyla tutarlıdır; dosya adı, kampanyalarda hedeflenen anahtar kelime öbeğiyle eşleşir."

Cisco Talos

Cisco Talos, bu saldırıyı tüm yıl boyunca takip etti ve kötü amaçlı yazılımın sürekli yeni sürümlerinin ortaya çıktığını gördü; bu da geliştiricilerin yazılımı sürekli geliştirdiğini gösteriyor. Araştırmacılar, PS1Bot ile AHK Bot ve Skitnet gibi diğer kötü amaçlı yazılım aileleri arasında benzerlikler olduğunu fark etti; bu da bu farklı tehditlerin arkasında aynı siber suçluların olabileceğini gösteriyor.

Araştırmalar, bu kötü amaçlı yazılımın internet kullanan herkes için hızla gelişen ve ciddi bir risk oluşturduğunu gösteriyor. Kendinizi korumak için indirdiklerinize her zaman dikkat edin. Bir dosya adı, bir kılavuz veya belge gibi tanıdık gelse bile, garip veya beklenmedik bir web sitesinden geliyorsa şüphelenin. Ayrıca, şüpheli açılır reklamlara tıklamaktan kaçının ve güvenilir web sitelerini tercih edin.