Criptomoedas

A Cisco Talos identificou uma nova e sofisticada campanha de malware, chamada PS1Bot, que tem como alvo sistemas Windows e está em operação ativa ao longo de 2025. Este malware, baseado em PowerShell e C#, representa uma evolução significativa nas capacidades de roubo de informações, focando especialmente em carteiras de criptomoedas e dados financeiros sensíveis. O PS1Bot utiliza uma arquitetura modular que permite a execução de componentes especializados, como captura de tela, keylogging e coleta de informações, tudo isso mantendo um perfil discreto ao executar suas operações na memória, sem deixar vestígios no disco rígido.

O Google anunciou uma nova política que exige que desenvolvedores de exchanges e wallets de criptomoedas obtenham licenças governamentais antes de publicar seus aplicativos em 15 jurisdições, incluindo EUA, Reino Unido e União Europeia. Essa medida visa garantir um ecossistema seguro e em conformidade para os usuários. Os desenvolvedores devem estar registrados em autoridades financeiras relevantes, como a FCA no Reino Unido ou a FinCEN nos EUA, e declarar que seu aplicativo é uma exchange ou wallet de criptomoedas. As mudanças não se aplicam a wallets não-custodiais. O Google também alertou que desenvolvedores sem as licenças necessárias devem remover seus aplicativos das lojas em regiões afetadas. A decisão surge em meio a um alerta do FBI sobre fraudes relacionadas a criptomoedas, onde golpistas se passam por advogados para enganar vítimas. Entre fevereiro de 2023 e fevereiro de 2024, vítimas de fraudes em criptomoedas relataram perdas superiores a $9,9 milhões devido a esses golpes. O FBI recomenda que os usuários estejam atentos a sinais de alerta, como a solicitação de pagamentos em criptomoedas e a impersonação de entidades governamentais.

Pesquisadores de cibersegurança descobriram uma nova campanha de malvertising que visa infectar vítimas com um malware de múltiplas etapas chamado PS1Bot. Este malware possui um design modular, permitindo a execução de diversas atividades maliciosas, como roubo de informações, keylogging e acesso persistente ao sistema. A campanha, ativa desde o início de 2025, utiliza malvertising e otimização de mecanismos de busca (SEO) como vetores de propagação. O ataque começa com um arquivo ZIP que contém um payload JavaScript, que baixa um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2) para buscar comandos adicionais, permitindo que os operadores ampliem a funcionalidade do malware. Entre as capacidades do PS1Bot estão a detecção de antivírus, captura de tela, roubo de dados de carteiras de criptomoedas e registro de teclas. A modularidade do PS1Bot facilita atualizações rápidas e a implementação de novas funcionalidades. A Google anunciou que está utilizando inteligência artificial para combater tráfego inválido e melhorar a identificação de anúncios maliciosos, o que pode ajudar a mitigar tais campanhas. A natureza ativa e a complexidade do PS1Bot indicam um risco significativo para usuários e organizações, especialmente no contexto de crescente uso de criptomoedas.