Une nouvelle attaque de malvertising propage le malware PS1Bot, un logiciel malveillant de vol de cryptomonnaies.
Les chercheurs de Cisco Talos ont découvert un nouveau malware dangereux appelé PS1Bot. Active depuis début 2025, cette menace sophistiquée se propage par malvertising et est conçue pour voler des portefeuilles de cryptomonnaies, des mots de passe et d'autres informations sensibles.
Hackread.com a été informé d'une nouvelle cyberattaque très active grâce à une étude menée par les experts en cybersécurité de Cisco Talos. Leur article de blog technique, partagé en exclusivité avec nous, détaille un nouveau type de logiciel malveillant appelé PS1Bot.
PS1Bot est un framework de malware puissant et sournois qui est très actif depuis début 2025. Il tire son nom, en partie, du fait qu'il a été créé avec PowerShell, un langage de programmation souvent utilisé sur les ordinateurs Windows.
Ce qui rend PS1Bot si dangereux, c'est sa capacité à effectuer de multiples actions malveillantes. Il peut voler des informations sensibles, enregistrer vos frappes (un processus appelé enregistrement de frappe ) et prendre des captures d'écran de votre ordinateur. Il peut même prendre le contrôle de votre système et y rester même après le redémarrage de votre ordinateur.
L'étude met également en évidence les capacités particulièrement efficaces du logiciel malveillant en matière de vol d'informations , notant qu'il cible spécifiquement les mots de passe, les cookies du navigateur et même les phrases de départ des portefeuilles de crypto-monnaie.
Ce malware est conçu pour être difficile à détecter. Il utilise une astuce astucieuse appelée « exécution en mémoire », qui consiste à exécuter ses programmes malveillants directement dans la mémoire de votre ordinateur au lieu de les enregistrer sous forme de fichiers sur votre disque dur. Il est ainsi beaucoup plus difficile à détecter pour les antivirus . Les chercheurs ont également constaté que le malware vérifie si des antivirus sont installés sur un système avant de lancer son attaque.
Selon une étude de Cisco Talos, le logiciel malveillant se propage principalement par le biais de publicités en ligne malveillantes, aussi appelées « malvertising ». Les internautes effectuant des recherches courantes en ligne, comme « manuel de politiques d'assurance maladie » ou « feuilles de calcul pour compter l'argent canadien » (PDF), peuvent être redirigés vers un site web qui télécharge secrètement un fichier compressé sur leur ordinateur. Ces fichiers contiennent un fichier apparemment inoffensif nommé FULL DOCUMENT.js qui, une fois ouvert, télécharge et exécute le logiciel malveillant PS1Bot.
La victime reçoit initialement une archive compressée. Les noms de fichiers observés par Talos correspondent à ceux généralement observés lors de campagnes d'empoisonnement SEO et/ou de publicité malveillante, où le nom du fichier correspond à l'expression clé ciblée.
Cisco Talos
Cisco Talos a suivi cette campagne tout au long de l'année et a constaté un flux constant de nouvelles versions du malware, ce qui suggère que ses créateurs l'améliorent constamment. Les chercheurs ont constaté des similitudes entre PS1Bot et d'autres familles de malwares, comme AHK Bot et Skitnet , ce qui suggère que les mêmes cybercriminels pourraient être à l'origine de ces différentes menaces.
Les recherches montrent que ce logiciel malveillant représente un risque sérieux et en constante évolution pour tous les utilisateurs d'Internet. Pour vous protéger, soyez toujours vigilant quant à ce que vous téléchargez. Même si un nom de fichier vous semble familier, comme un manuel ou un document, méfiez-vous s'il provient d'un site web étrange ou inattendu. Évitez également de cliquer sur des fenêtres publicitaires suspectes et privilégiez les sites web fiables.
HackRead
