PS1Bot muncul sebagai kampanye malware baru yang aktif sejak awal 2025. Operatornya menggabungkan PowerShell dan C# dengan pola serangan multi-tahap berbasis memori untuk menghilangkan jejak forensik. Rantai serangan disebarkan melalui malvertising serta SEO poisoning, dan menunjukkan kemiripan teknis dengan AHK Bot yang sebelumnya dikaitkan dengan Asylum Ambuscade dan TA866. Aktivitasnya juga beririsan dengan operasi yang memakai Skitnet/Bossnet untuk mencuri data dan mengambil alih host korban.
Tahap awal infeksi biasanya dimulai dari arsip terkompresi yang diunduh korban setelah mengklik iklan palsu atau hasil pencarian yang dimanipulasi. Di dalam ZIP terdapat JavaScript bertindak sebagai pengunduh, yang mengambil scriptlet dari server eksternal. Scriptlet tersebut kemudian menulis skrip PowerShell ke disk dan mengeksekusinya, membuka pintu bagi modul lanjutan tanpa perlu pemasangan aplikasi yang terlihat.
Setelah terhubung ke server command-and-control (C2), skrip PowerShell mengambil perintah tahap berikutnya secara modular. Fitur yang teramati meliputi deteksi antivirus, pengambilan tangkapan layar, pencuri informasi dari browser serta aplikasi dompet kripto (termasuk seed phrase), keylogging dan pengumpulan clipboard, inventarisasi sistem, hingga mekanisme persistensi yang membuat skrip aktif otomatis saat boot. Arsitektur modular ini memudahkan pelaku memperbarui kemampuan dengan cepat.
Bagi pembaca di Indonesia, vektor malvertising sangat relevan karena banyak pengguna mencari “gratisan” seperti crack, activator, dan driver “mod”, yang sering dipasangkan dengan iklan atau landing page berbahaya. UMKM, kampus, dan individu yang belum memasang EDR atau kebijakan eksekusi PowerShell yang ketat lebih rentan. Dampaknya bukan sekadar kebocoran data: kredensial perbankan, aset kripto, dan akses RDP ke mesin kantor bisa dijual di pasar gelap, memicu insiden sekunder seperti ransomware.
Mitigasi praktis meliputi pembatasan PowerShell ke Constrained Language Mode, mengaktifkan logging (terutama Event ID 4104 dan 4103) serta integrasi AMSI pada EDR. Terapkan kebijakan AppLocker/WDAC, aktifkan aturan Attack Surface Reduction yang memblokir executable dari folder sementara/arsip, dan kurangi paparan malvertising via DNS sinkhole/policy serta pengelolaan allowlist iklan. Edukasikan pengguna untuk selalu mengetik domain resmi, hindari unduhan dari halaman iklan, pisahkan profil browser untuk aktivitas kripto, serta simpan seed phrase secara offline/hardware wallet.
Di sisi ekosistem periklanan, Google menyebut pemanfaatan LLM untuk menekan invalid traffic dan meninjau penempatan iklan yang menipu, dengan klaim penurunan signifikan pada praktik ad serving nakal. Upaya ini membantu, namun tidak meniadakan risiko: aktor ancaman cepat beradaptasi dan memindahkan beban ke saluran iklan atau kampanye SEO lain. Prinsipnya, perlakukan iklan dan hasil pencarian yang “terlalu bagus” sebagai sumber tidak tepercaya, verifikasi URL, dan prioritaskan unduhan dari situs resmi.
Video Terkait Akan Hadir di Channel YouTube: