حملة PS1Bot الضارة: استخدام الإعلانات الخبيثة لتنفيذ هجمات متعددة المراحل

في عالم الأمن السيبراني، تبرز برمجيات PS1Bot الضارة كتهديد جديد يتطلب اهتمامًا خاصًا. هذه الحملة تستخدم تقنيات متقدمة للإصابة بالأنظمة وسرقة المعلومات.

حملة جديدة من برمجيات PS1Bot الضارة تستخدم الإعلانات الخبيثة لتنفيذ هجمات متعددة المراحل في الذاكرة

اكتشف باحثو الأمن السيبراني حملة جديدة من الإعلانات الخبيثة تهدف إلى إصابة الضحايا بإطار عمل برمجي ضار متعدد المراحل يسمى PS1Bot.

يتميز PS1Bot بتصميمه المعياري، حيث يتم تسليم عدة وحدات لأداء مجموعة متنوعة من الأنشطة الخبيثة على الأنظمة المصابة، بما في ذلك سرقة المعلومات، وتسجيل ضغطات المفاتيح، والاستطلاع، وإنشاء وصول دائم إلى النظام.

تم تصميم PS1Bot مع مراعاة التخفي، حيث يقلل من الآثار الدائمة التي تترك على الأنظمة المصابة ويعتمد تقنيات التنفيذ في الذاكرة لتسهيل تنفيذ الوحدات التالية دون الحاجة إلى كتابتها على القرص.

تم العثور على حملات توزيع البرمجيات الضارة المكتوبة بلغة PowerShell وC# نشطة منذ أوائل عام 2025، مستفيدة من الإعلانات الخبيثة كوسيلة انتشار، حيث تقوم سلاسل العدوى بتنفيذ الوحدات في الذاكرة لتقليل الأثر الجنائي. يُعتقد أن PS1Bot يشترك في تداخلات تقنية مع AHK Bot، وهو برمجيات ضارة تعتمد على AutoHotkey تم استخدامها سابقًا من قبل المهاجمين Asylum Ambuscade وTA866.

علاوة على ذلك، تم تحديد مجموعة النشاط هذه على أنها تتداخل مع حملات سابقة تتعلق ببرمجيات الفدية التي تستخدم برمجيات ضارة تُسمى Skitnet (المعروفة أيضًا باسم Bossnet) بهدف سرقة البيانات وإنشاء تحكم عن بُعد على الأجهزة المخترقة.

نقطة البداية للهجوم هي أرشيف مضغوط يتم تسليمه للضحايا عبر الإعلانات الخبيثة أو تسميم محركات البحث. يحتوي الملف ZIP على حمولة جافا سكريبت تعمل كمتنزيل لاسترداد برنامج نصي من خادم خارجي، والذي يقوم بعد ذلك بكتابة برنامج PowerShell إلى ملف على القرص وتنفيذه.

يتولى برنامج PowerShell مسؤولية الاتصال بخادم القيادة والتحكم (C2) واسترداد أوامر PowerShell للمرحلة التالية التي تسمح للمشغلين بتعزيز وظائف البرمجيات الضارة بطريقة معيارية وتنفيذ مجموعة واسعة من الإجراءات على الجهاز المخترق:

• كشف برامج مكافحة الفيروسات، والذي يحصل على قائمة برامج مكافحة الفيروسات الموجودة على النظام المصاب ويبلغ عنها.
• التقاط الشاشة، الذي يلتقط لقطات شاشة على الأنظمة المصابة وينقل الصور الناتجة إلى خادم C2.
• سرقة المحفظة، التي تسرق البيانات من متصفحات الويب (وإضافات المحفظة)، وبيانات التطبيقات الخاصة بمحافظ العملات المشفرة، والملفات التي تحتوي على كلمات المرور، والسلاسل الحساسة، أو عبارات استرداد المحفظة.
• تسجيل ضغطات المفاتيح، الذي يسجل ضغطات المفاتيح ويجمع محتوى الحافظة.
• جمع المعلومات، الذي يجمع وينقل المعلومات حول النظام والبيئة المصابة إلى المهاجم.
• الاستمرارية، الذي ينشئ برنامج PowerShell بحيث يتم تشغيله تلقائيًا عند إعادة تشغيل النظام، مع دمج نفس المنطق المستخدم لإنشاء عملية استعلام C2 لاسترداد الوحدات.

أشار Talos إلى أن “تنفيذ وحدة سرقة المعلومات يعتمد على قوائم الكلمات المدمجة في السارق لتعداد الملفات التي تحتوي على كلمات المرور وعبارات الاسترداد التي يمكن استخدامها للوصول إلى محافظ العملات المشفرة، التي يحاول السارق أيضًا تسريبها من الأنظمة المصابة.”

“يوفر الطابع المعياري لتنفيذ هذه البرمجيات الضارة مرونة ويسهل نشر التحديثات أو الوظائف الجديدة بسرعة حسب الحاجة.”

تأتي هذه الإفصاحات في الوقت الذي قالت فيه Google إنها تستخدم أنظمة الذكاء الاصطناعي (AI) المدعومة بنماذج لغوية كبيرة (LLMs) لمكافحة حركة المرور غير الصالحة (IVT) وتحديد أماكن الإعلانات التي تولد سلوكيات غير صالحة بدقة أكبر.

قالت Google: “تقدم تطبيقاتنا الجديدة حماية أسرع وأقوى من خلال تحليل محتوى التطبيقات والويب، وأماكن الإعلانات وتفاعلات المستخدم.” على سبيل المثال، لقد حسنت بشكل كبير من قدرات مراجعة المحتوى لدينا، مما أدى إلى تقليل بنسبة 40% في IVT الناتج عن ممارسات تقديم إعلانات خادعة أو مزعجة.

مع استمرار تطور التهديدات الرقمية، من الضروري أن نكون على دراية بأحدث الأساليب المستخدمة من قبل المهاجمين. يجب على الأفراد والشركات اتخاذ خطوات استباقية لحماية أنظمتهم.