Nuevo ataque de publicidad maliciosa propaga malware PS1Bot que roba criptomonedas

Los investigadores de Cisco Talos han descubierto un nuevo y peligroso framework de malware llamado PS1Bot. Activo desde principios de 2025, esta sofisticada amenaza se propaga mediante publicidad maliciosa y está diseñado para robar monederos de criptomonedas, contraseñas y otra información confidencial.

Hackread.com ha descubierto un nuevo ciberataque muy activo gracias a una investigación realizada por expertos en ciberseguridad de Cisco Talos. Su publicación técnica en el blog, compartida en exclusiva con nosotros, detalla un nuevo tipo de software malicioso llamado PS1Bot.

PS1Bot es un potente y sigiloso marco de malware que ha estado muy activo desde principios de 2025. Recibe su nombre, en parte, por haber sido creado con PowerShell, un lenguaje de programación que se usa a menudo en computadoras con Windows.

Lo que hace a PS1Bot tan peligroso es su capacidad para realizar múltiples acciones dañinas. Puede robar información confidencial, registrar lo que escribes (un proceso conocido como keylogging ) y tomar capturas de pantalla de tu ordenador. Incluso puede tomar el control de tu sistema y permanecer allí incluso después de reiniciarlo.

La investigación también destaca las capacidades particularmente efectivas del malware para robar información , señalando que apunta específicamente a contraseñas, cookies del navegador e incluso frases semilla de billeteras de criptomonedas.

El malware está diseñado para ser difícil de detectar. Utiliza un truco ingenioso llamado ejecución en memoria, lo que significa que ejecuta sus programas dañinos directamente en la memoria del ordenador en lugar de guardarlos como archivos en el disco duro. Esto dificulta mucho su detección por parte del software antivirus . Los investigadores también descubrieron que el malware comprueba si hay programas antivirus instalados en el sistema antes de ejecutar su ataque completo.

Según la investigación de Cisco Talos, el malware se propaga principalmente a través de publicidad maliciosa en línea, también conocida como malvertising . Quienes buscan en línea información común como "manual de políticas de beneficios de Medicare" u "Hojas de cálculo para contar dinero canadiense en PDF" podrían ser redirigidos a un sitio web que descarga secretamente un archivo comprimido en su computadora. Dentro de estos archivos se encuentra un archivo aparentemente inofensivo llamado FULL DOCUMENT.js que, al abrirse, descarga y ejecuta el malware PS1Bot.

Inicialmente, la víctima recibe un archivo comprimido. Los nombres de archivo que Talos observó en la red coinciden con lo que se suele observar durante campañas de envenenamiento SEO o malvertising, donde el nombre del archivo coincide con la frase clave a la que se dirigen las campañas.

Cisco Talos

Cisco Talos ha estado rastreando esta campaña durante todo el año y ha detectado un flujo constante de nuevas versiones del malware, lo que sugiere que sus creadores lo mejoran constantemente. Los investigadores observaron similitudes entre PS1Bot y otras familias de malware, como AHK Bot y Skitnet , lo que sugiere que los mismos ciberdelincuentes podrían estar detrás de estas diferentes amenazas.

Las investigaciones demuestran que este malware representa un riesgo grave y en rápida evolución para cualquier persona que use internet. Para protegerse, tenga siempre cuidado con lo que descarga. Incluso si el nombre de un archivo le resulta familiar, como un manual o un documento, desconfíe si proviene de un sitio web desconocido o inesperado. Además, evite hacer clic en anuncios emergentes sospechosos y utilice sitios web confiables.