Ps1bot

Pesquisadores da Cisco Talos descobriram um novo framework de malware chamado PS1Bot, que se destaca por suas capacidades de infecção e persistência em dispositivos. O PS1Bot é distribuído por meio de campanhas de malvertising e SEO poisoning, que induzem usuários desavisados a baixar o malware. Uma vez instalado, ele pode atuar como um infostealer, keylogger e screen grabber, coletando dados sensíveis como informações de carteiras de criptomoedas. O malware utiliza um arquivo ZIP que contém um payload em JavaScript, que atua como um dropper, baixando um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2), permitindo que os atacantes enviem comandos adicionais para o malware. O PS1Bot é modular, o que significa que pode ser atualizado rapidamente para incluir novas funcionalidades. A implementação do módulo de roubo de informações utiliza listas de palavras para identificar arquivos que contêm senhas e frases-semente, que são então exfiltradas. A natureza flexível do PS1Bot representa uma ameaça significativa, especialmente para usuários que não adotam práticas de segurança cibernética rigorosas.

A Cisco Talos identificou uma nova e sofisticada campanha de malware, chamada PS1Bot, que tem como alvo sistemas Windows e está em operação ativa ao longo de 2025. Este malware, baseado em PowerShell e C#, representa uma evolução significativa nas capacidades de roubo de informações, focando especialmente em carteiras de criptomoedas e dados financeiros sensíveis. O PS1Bot utiliza uma arquitetura modular que permite a execução de componentes especializados, como captura de tela, keylogging e coleta de informações, tudo isso mantendo um perfil discreto ao executar suas operações na memória, sem deixar vestígios no disco rígido.

Pesquisadores de cibersegurança descobriram uma nova campanha de malvertising que visa infectar vítimas com um malware de múltiplas etapas chamado PS1Bot. Este malware possui um design modular, permitindo a execução de diversas atividades maliciosas, como roubo de informações, keylogging e acesso persistente ao sistema. A campanha, ativa desde o início de 2025, utiliza malvertising e otimização de mecanismos de busca (SEO) como vetores de propagação. O ataque começa com um arquivo ZIP que contém um payload JavaScript, que baixa um script PowerShell de um servidor externo. Este script se comunica com um servidor de comando e controle (C2) para buscar comandos adicionais, permitindo que os operadores ampliem a funcionalidade do malware. Entre as capacidades do PS1Bot estão a detecção de antivírus, captura de tela, roubo de dados de carteiras de criptomoedas e registro de teclas. A modularidade do PS1Bot facilita atualizações rápidas e a implementação de novas funcionalidades. A Google anunciou que está utilizando inteligência artificial para combater tráfego inválido e melhorar a identificação de anúncios maliciosos, o que pode ajudar a mitigar tais campanhas. A natureza ativa e a complexidade do PS1Bot indicam um risco significativo para usuários e organizações, especialmente no contexto de crescente uso de criptomoedas.