PS1Bot 恶意软件活动升级：模块化 PowerShell 框架现身，暗藏新型隐蔽手法

Cisco Talos 近期发现一起持续活跃的恶意软件活动，部署了一种名为 PS1Bot 的高级模块化框架。该恶意软件使用 PowerShell 与 C# 编写，功能不断演进，可实现信息窃取、键盘记录、屏幕截取、加密货币钱包盗取，并在受感染系统中建立长期持久性。

Talos 表示：“PS1Bot 采用模块化设计，通过多个模块在受感染系统上执行各种恶意操作，包括信息窃取、键盘记录、侦察以及持久访问的建立。”自 2025 年初以来，新的样本频繁出现，显示该活动发展周期极为迅速。

其感染链始于恶意广告和搜索引擎优化投毒（SEO Poisoning），诱导受害者下载带有热门搜索关键词的恶意压缩文件，例如 chapter 8 medicare benefit policy manual.zip 或 zebra gx430t manual.zip.081。压缩包内的 FULL DOCUMENT.js JavaScript 文件充当下载器，“在 2025 年期间使用多种混淆手段获取下一阶段的恶意程序。”

一旦执行，该加载器会从指挥控制（C2）服务器获取 PowerShell 脚本。脚本会收集系统 C 盘序列号以生成唯一的 C2 URL，然后进入循环，不断轮询并在内存中执行额外的恶意模块。

Talos 已记录多个 PS1Bot 模块，每个模块执行特定恶意功能：

• 防病毒检测 —— 通过 WMI 查询识别已安装的安全软件，并将结果发送至 C2 服务器。

• 屏幕捕获 —— 动态编译 C# 代码以截取并外泄屏幕截图，通常用于监控受害者活动或窃取屏幕上的数据。

• Grabber 模块 —— 针对“本地浏览器存储、加密货币钱包应用程序以及包含密码、敏感字符串或钱包恢复短语的文件”。Talos 观察到其嵌入了大规模多语言词表以定位加密恢复短语。

• 键盘记录器 —— 使用 SetWindowsHookEx() 记录按键和剪贴板活动，并将日志发送给攻击者。

• 信息收集 —— 执行 WMI 侦察以确定域成员身份，帮助识别高价值目标。

• 持久化 —— 创建隐藏 PowerShell 脚本和恶意 .LNK 文件，在重启后重新建立 C2 连接。

Talos 警告称：“其模块化设计……使得能够根据需要快速部署更新或新增功能。”

调查显示，PS1Bot 的 C2 基础设施与此前涉及 Skitnet 和 Bossnet 的恶意软件活动存在显著重叠，同时在架构上与 AHK Bot 相似。值得注意的是，PS1Bot 和 AHK Bot 都通过硬盘序列号生成 C2 URL，并在通信中高度依赖 URL 参数。

虽然模块化恶意软件并非新鲜事物，但 PS1Bot 将内存执行、广泛的数据窃取能力与以隐蔽性为核心的持久化结合，使其尤为危险。通过避免将大部分负载写入磁盘，它能够规避防病毒检测；同时，其多向数据窃取功能——涵盖 MFA 令牌到加密货币钱包——对财务和隐私构成高度风险。