Pesquisadores de cibersegurança descobriram uma nova campanha de malvertising projetada para infectar vítimas com uma estrutura de malware multi-estágio chamada PS1Bot.
"O PS1Bot possui um design modular, com vários módulos utilizados para realizar uma variedade de atividades maliciosas em sistemas infectados, incluindo roubo de informações, keylogging, reconhecimento e estabelecimento de acesso persistente ao sistema", disseram os pesquisadores da Cisco Talos, Edmund Brumaghin e Jordyn Dunk.
O PS1Bot foi projetado com furtividade em mente, minimizando artefatos persistentes deixados em sistemas infectados e incorporando técnicas de execução em memória para facilitar a execução de módulos subsequentes sem a necessidade de serem escritos em disco.
Campanhas distribuindo o malware PowerShell e C# foram encontradas ativas desde o início de 2025, aproveitando o malvertising como um vetor de propagação, com as cadeias de infecção executando módulos em memória para minimizar o rastro forense.
PS1Bot é avaliado por compartilhar sobreposições técnicas com o AHK Bot, um malware baseado em AutoHotkey anteriormente utilizado por atores de ameaças Asylum Ambuscade e TA866.
Além disso, o cluster de atividade foi identificado como tendo sobreposições com campanhas anteriores relacionadas a ransomware que utilizavam um malware chamado Skitnet (também conhecido como Bossnet) com o objetivo de roubar dados e estabelecer controle remoto sobre hosts comprometidos.
O ponto de partida do ataque é um arquivo compactado entregue às vítimas via malvertising ou envenenamento de SEO (Search Engine Optimization).
Dentro do arquivo ZIP, há um payload JavaScript que serve como um downloader para recuperar um scriptlet de um servidor externo, que então escreve um script PowerShell em um arquivo no disco e o executa.
O script PowerShell é responsável por contatar um servidor de comando e controle (C2) e buscar comandos PowerShell da próxima fase que permitem aos operadores aumentar a funcionalidade do malware de forma modular e realizar uma ampla gama de ações no host comprometido:
- Detecção de antivírus, que obtém e relata a lista de programas antivírus presentes no sistema infectado;
- Captura de tela, que captura screenshots em sistemas infectados e transmite as imagens resultantes para o servidor C2;
- Wallet grabber, que rouba dados de navegadores web (e extensões de carteira), dados de aplicativos para aplicações de carteira de criptomoedas e arquivos contendo senhas, strings sensíveis ou frases-senha de carteira
- Keylogger, que registra as teclas digitadas e coleta o conteúdo da área de transferência
Coleta de informações, que colhe e transmite informações sobre o sistema infectado e ambiente para o atacante
- Persistência, que cria um script PowerShell de forma que ele seja automaticamente lançado quando o sistema reinicia, incorporando a mesma lógica usada para estabelecer o processo de sondagem C2 para buscar os módulos.
"A implementação do módulo de roubo de informações aproveita listas de palavras embutidas no stealer para enumerar arquivos contendo senhas e frases-senha que podem ser usados para acessar carteiras de criptomoedas, os quais o stealer também tenta exfiltrar de sistemas infectados", observou a Talos.
"A natureza modular da implementação desse malware fornece flexibilidade e permite a implantação rápida de atualizações ou novas funcionalidades conforme necessário." A divulgação ocorre enquanto o Google disse que está aproveitando sistemas de inteligência artificial (AI) alimentados por Large Language Models (LLMs) para combater tráfego inválido (IVT) e identificar mais precisamente colocações de anúncios gerando comportamentos inválidos.
"Nossas novas aplicações fornecem proteções mais rápidas e fortes analisando conteúdo de apps e web, colocações de anúncios e interações do usuário", disse o Google.
Por exemplo, eles melhoraram significativamente nossas capacidades de revisão de conteúdo, levando a uma redução de 40% no IVT decorrente de práticas de veiculação de anúncios enganosas ou disruptivas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...