思科Talos研究人员发现了一个名为PS1Bot的危险新型恶意软件框架。该复杂威胁自2025年初起活跃，通过恶意广告传播，旨在窃取加密货币钱包、密码和其他敏感信息。

思科Talos网络安全专家的研究中了解到一种新型、高度活跃的网络攻击。他们独家分享的技术博客文章详细介绍了一种名为PS1Bot的新型恶意软件。

PS1Bot是一个强大且隐蔽的恶意软件框架，自2025年初以来一直非常活跃。它的名字部分来源于使用PowerShell创建，PowerShell是Windows计算机上常用的一种编程语言。

PS1Bot之所以如此危险，是因为它能够执行多种有害操作。它可以窃取敏感信息、记录你的输入内容（这个过程被称为键盘记录），以及截取你的电脑屏幕截图。它甚至可以接管你的系统，即使你重启电脑后依然无法摆脱它。

该研究还强调了该恶意软件特别有效的信息窃取能力，并指出它专门针对密码、浏览器cookie甚至加密货币钱包种子短语。

该恶意软件的设计使其难以检测。它使用了一种名为“内存执行”的巧妙技巧，这意味着它会直接在计算机内存中运行有害程序，而不是将其保存为硬盘上的文件。这使得杀毒软件更难发现它。研究人员还发现，该恶意软件在全面攻击之前会检查系统上是否安装了杀毒程序。

根据思科Talos的研究，该恶意软件主要通过恶意在线广告（也称为恶意广告）传播。当用户在线搜索“医疗保险福利政策手册”或“加拿大货币计算工作表PDF”等常见内容时，可能会被引导到一个网站，该网站会秘密下载一个压缩文件到他们的电脑上。这些文件中包含一个看似无害的文件，名为FULL DOCUMENT.js.ps1bot，打开后会下载并运行恶意软件。

受害者最初会收到一个压缩文件。Talos在野外观察到的文件名与搜索引擎优化(SEO)中毒和/或恶意广告活动中常见的文件名一致，文件名与攻击活动中针对的关键词短语相匹配。---思科Talos

思科Talos团队全年都在跟踪此活动，并发现该恶意软件的新版本不断涌现，这表明其开发者正在不断改进。研究人员注意到PS1Bot与AHK Bot和Skitnet等其他恶意软件家族存在相似之处，这表明这些不同威胁的幕后黑手可能是相同的网络犯罪分子。

研究表明，这种恶意软件正在迅速演变，对任何使用互联网的人都构成严重威胁。为了保护自己，请务必谨慎下载内容。即使文件名看起来很熟悉，例如手册或文档，如果来自陌生或意外的网站，也应保持警惕。此外，请避免点击可疑的弹出广告，并坚持使用信誉良好的网站。