Infostealer

Pesquisadores da Cisco Talos descobriram um novo framework de malware chamado PS1Bot, que se destaca por suas capacidades de infecção e persistência em dispositivos. O PS1Bot é distribuído por meio de campanhas de malvertising e SEO poisoning, que induzem usuários desavisados a baixar o malware. Uma vez instalado, ele pode atuar como um infostealer, keylogger e screen grabber, coletando dados sensíveis como informações de carteiras de criptomoedas. O malware utiliza um arquivo ZIP que contém um payload em JavaScript, que atua como um dropper, baixando um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2), permitindo que os atacantes enviem comandos adicionais para o malware. O PS1Bot é modular, o que significa que pode ser atualizado rapidamente para incluir novas funcionalidades. A implementação do módulo de roubo de informações utiliza listas de palavras para identificar arquivos que contêm senhas e frases-semente, que são então exfiltradas. A natureza flexível do PS1Bot representa uma ameaça significativa, especialmente para usuários que não adotam práticas de segurança cibernética rigorosas.