PS1Bot Desvendando a Nova Campanha de Malware Multi-Estágio para Windows

A Cisco Talos identificou uma nova e sofisticada campanha de malware, chamada PS1Bot, que tem como alvo sistemas Windows e está em operação ativa ao longo de 2025. Este malware, baseado em PowerShell e C#, representa uma evolução significativa nas capacidades de roubo de informações, focando especialmente em carteiras de criptomoedas e dados financeiros sensíveis. O PS1Bot utiliza uma arquitetura modular que permite a execução de componentes especializados, como captura de tela, keylogging e coleta de informações, tudo isso mantendo um perfil discreto ao executar suas operações na memória, sem deixar vestígios no disco rígido.

A infecção inicial ocorre através de campanhas de malvertising, levando as vítimas a arquivos compactados com nomes otimizados para mecanismos de busca. Uma vez executado, o malware se comunica com servidores de comando e controle (C2) utilizando o número de série do disco do sistema infectado para criar URLs únicas. O módulo de roubo de informações do PS1Bot é particularmente avançado, visando mais de 50 navegadores e extensões relacionadas a criptomoedas, como MetaMask e Coinbase. Além disso, ele busca aplicativos de carteira de criptomoedas instalados localmente e utiliza listas de palavras embutidas para identificar arquivos que contêm frases-semente e senhas de carteiras.

A análise revela conexões com campanhas anteriores de malware, sugerindo um desenvolvimento contínuo e a necessidade de monitoramento por parte das equipes de segurança. O PS1Bot representa uma ameaça crescente que deve ser observada de perto, especialmente devido ao seu potencial impacto em dados sensíveis e conformidade com a LGPD.

Fonte: https://cyberpress.org/ps1bot-malware-campaign/

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).