Serangan Malvertising PS1Bot –

Para peneliti keamanan siber telah menemukan kampanye malvertising baru yang dirancang untuk menginfeksi korban dengan kerangka malware bertingkat bernama PS1Bot.

Malware ini menonjol karena desainnya yang modular dan tekniknya yang dirancang untuk menghindari deteksi.

Menurut peneliti, PS1Bot memiliki desain modular dengan beberapa modul yang digunakan untuk melakukan berbagai aktivitas berbahaya, seperti:

Pencurian Informasi: Mencuri data dari sistem yang terinfeksi.
Pencatatan Tombol (Keylogging): Merekam setiap ketikan tombol yang dilakukan korban.
Pengintaian (Reconnaissance): Mengumpulkan informasi tentang sistem yang terinfeksi.
Akses Persisten: Memastikan penyerang dapat terus mengakses sistem meskipun komputer dinyalakan ulang.

Desain PS1Bot dibuat dengan mengutamakan kerahasiaan. Malware ini meminimalkan jejak yang ditinggalkan di sistem yang terinfeksi dan menggunakan teknik eksekusi di dalam memori (in-memory execution) untuk menjalankan modul-modul berikutnya tanpa perlu ditulis ke disk.

Modus Operandi dan Kerentanan yang Tumpang Tindih

Serangan Malvertising PS1Bot — Credit image: Freepix

Kampanye yang menyebarkan malware berbasis PowerShell dan C# ini telah aktif sejak awal 2025, memanfaatkan malvertising (iklan berbahaya) dan SEO poisoning (manipulasi hasil pencarian) sebagai vektor penyebaran.

Serangan dimulai dengan arsip terkompresi (file ZIP) yang berisi payload JavaScript. File JavaScript ini berfungsi sebagai pengunduh (downloader) untuk mengambil skrip dari server eksternal.

Yang kemudian menulis dan menjalankan skrip PowerShell. Skrip PowerShell inilah yang bertanggung jawab untuk mengunduh modul-modul berbahaya dari server command-and-control (C2).

Kerangka modular ini memungkinkan operator serangan untuk menambah fungsionalitas malware secara fleksibel. Beberapa modul yang terdeteksi antara lain:

Deteksi Antivirus: Modul yang mengumpulkan dan melaporkan daftar program antivirus yang terinstal.
Perekam Layar: Modul yang mengambil tangkapan layar sistem dan mengirimkannya ke server C2.
Pencuri Dompet: Modul yang mencuri data dari peramban web, aplikasi dompet kripto, dan file yang berisi kata sandi atau frasa sandi dompet.
Keylogger: Modul yang mencatat setiap ketikan tombol dan konten clipboard.
Pengumpul Informasi: Modul yang mengumpulkan dan mengirimkan informasi tentang sistem dan lingkungan korban.
Persistensi: Modul yang memastikan malware secara otomatis aktif setiap kali sistem dinyalakan ulang.

Peneliti Talos mencatat bahwa implementasi modul pencuri informasi menggunakan daftar kata yang tertanam untuk mencari file yang berisi kata sandi dan frasa sandi dompet kripto.

PS1Bot dinilai memiliki tumpang tindih teknis dengan AHK Bot, malware berbasis AutoHotkey yang pernah digunakan oleh kelompok ancaman bernama Asylum Ambuscade dan TA866.

Selain itu, kampanye ini juga memiliki tumpang tindih dengan kampanye yang terkait dengan ransomware bernama Skitnet (alias Bossnet), yang bertujuan mencuri data dan mendapatkan kendali jarak jauh atas host yang disusupi.

Tindakan Pencegahan dan Respon Industri

Penemuan PS1Bot menunjukkan semakin canggihnya taktik penyerang dalam menghindari deteksi. Di sisi lain, industri teknologi juga berinovasi.

Google, misalnya, menyatakan bahwa mereka menggunakan sistem AI bertenaga large language models (LLM) untuk melawan lalu lintas tidak valid (invalid traffic / IVT.

Dan mengidentifikasi penempatan iklan yang menghasilkan perilaku penipuan. Upaya ini telah berhasil mengurangi IVT hingga 40% dari praktik penayangan iklan yang menipu.

Meskipun demikian, penting bagi setiap pengguna dan organisasi untuk tetap waspada terhadap ancaman malvertising dan phishing yang terus berkembang.

Baca artikel lainnya: