Nel panorama della sicurezza informatica del 2025, un nuovo e sofisticato malware denominato PS1Bot sta attirando l’attenzione degli esperti di cybersecurity per la sua efficacia e l’uso di tecniche avanzate di malvertising. PS1Bot si distingue per la sua architettura modulare e per la capacità di eseguire attacchi multi-fase direttamente in memoria, riducendo così la traccia lasciata sui sistemi infetti e complicando le attività di analisi forense.

La campagna di distribuzione di PS1Bot

La campagna di distribuzione di PS1Bot si affida principalmente al malvertising e al SEO poisoning per colpire le vittime. L’attacco inizia con un archivio compresso, spesso scaricato tramite pubblicità malevole o risultati manipolati nei motori di ricerca. All’interno di questo archivio si trova un payload JavaScript che funge da downloader, recuperando uno scriptlet da un server remoto. Questo scriptlet scrive ed esegue un file PowerShell sul disco della vittima, avviando così la catena di infezione.

Funzionalità e pericolosità del malware

Una volta attivo, lo script PowerShell contatta un server di comando e controllo (C2) per scaricare ulteriori comandi e moduli. PS1Bot è in grado di eseguire molteplici azioni dannose, tra cui il furto di informazioni sensibili, la cattura di screenshot, il keylogging e la raccolta di dati sulla macchina e sull’ambiente in cui opera. Particolarmente temibile è la funzione wallet grabber, pensata per sottrarre dati da browser, estensioni e applicazioni di wallet di criptovalute, nonché file che contengono password, stringhe sensibili e seed phrase.

Meccanismi di persistenza e modularità

La persistenza viene garantita creando uno script PowerShell che si avvia automaticamente a ogni riavvio del sistema, assicurando così la continuità del collegamento con il server C2 e la possibilità di scaricare nuovi moduli in modo silente. La natura modulare del malware permette agli operatori di aggiornare rapidamente le funzionalità o di aggiungerne di nuove, rendendo PS1Bot estremamente flessibile e adattabile a diversi scenari di attacco.

Affinità con altri malware e tecniche di evasione

Gli esperti sottolineano come PS1Bot condivida alcune caratteristiche tecniche con malware già noti come AHK Bot e Skitnet, storicamente associati a gruppi cybercriminali specializzati in ransomware e furto di dati. La capacità di esecuzione in memoria, senza lasciare file evidenti sul disco, rappresenta un ulteriore elemento di pericolosità, perché rende più difficile l’individuazione da parte di antivirus e sistemi di difesa tradizionali.