Novo ataque de malvertising espalha malware PS1Bot para roubo de criptomoedas

Pesquisadores da Cisco Talos descobriram uma nova e perigosa estrutura de malware chamada PS1Bot. Ativa desde o início de 2025, essa ameaça sofisticada se espalha por meio de malvertising e foi projetada para roubar carteiras de criptomoedas, senhas e outras informações confidenciais.

O Hackread.com tomou conhecimento de um novo ataque cibernético altamente ativo a partir de uma pesquisa realizada por especialistas em segurança cibernética da Cisco Talos. A publicação técnica do blog, compartilhada exclusivamente conosco, detalha um novo tipo de software malicioso chamado PS1Bot.

PS1Bot é uma estrutura de malware poderosa e furtiva que está muito ativa desde o início de 2025. Ele recebe esse nome, em parte, por ter sido criado com PowerShell, uma linguagem de programação frequentemente usada em computadores Windows.

O que torna o PS1Bot tão perigoso é sua capacidade de realizar múltiplas ações prejudiciais. Ele pode roubar informações confidenciais, gravar o que você digita (um processo conhecido como keylogging ) e fazer capturas de tela do seu computador. Ele pode até mesmo assumir o controle do seu sistema e permanecer lá mesmo depois que você reiniciar o computador.

A pesquisa também destaca as capacidades particularmente eficazes do malware para roubo de informações , observando que ele tem como alvo específico senhas, cookies do navegador e até mesmo frases-chave de carteiras de criptomoedas.

O malware foi projetado para ser difícil de detectar. Ele utiliza um truque inteligente chamado execução na memória, o que significa que executa programas nocivos diretamente na memória do seu computador, em vez de salvá-los como arquivos no disco rígido. Isso torna muito mais difícil a detecção por softwares antivírus . Os pesquisadores também descobriram que o malware verifica se há programas antivírus instalados no sistema antes de prosseguir com o ataque completo.

De acordo com a pesquisa da Cisco Talos, o malware é disseminado principalmente por meio de publicidade online maliciosa, também conhecida como malvertising . Pessoas que pesquisam online por coisas comuns como "manual de política de benefícios do Medicare" ou "Planilhas de Contagem de Dinheiro Canadense em PDF" podem ser direcionadas a um site que baixa secretamente um arquivo compactado para seus computadores. Dentro desses arquivos, há um arquivo aparentemente inofensivo chamado FULL DOCUMENT.js que, ao ser aberto, baixa e executa o malware PS1Bot.

A vítima recebe inicialmente um arquivo compactado. Os nomes de arquivo observados pelo Talos são consistentes com o que normalmente é visto em campanhas de envenenamento de mecanismos de busca (SEO) e/ou malvertising, em que o nome do arquivo corresponde à frase-chave alvo das campanhas.

Cisco Talos

A Cisco Talos vem monitorando essa campanha há um ano e tem observado um fluxo constante de novas versões do malware, o que sugere que seus criadores o estão aprimorando constantemente. Os pesquisadores notaram semelhanças entre o PS1Bot e outras famílias de malware, como AHK Bot e Skitnet , o que sugere que os mesmos cibercriminosos podem estar por trás dessas diferentes ameaças.

A pesquisa mostra que esse malware representa um risco sério e em rápida evolução para qualquer pessoa que utilize a internet. Para se proteger, tenha sempre cuidado com o que você baixa. Mesmo que o nome de um arquivo pareça familiar, como um manual ou documento, desconfie se ele vier de um site estranho ou inesperado. Além disso, evite clicar em anúncios pop-up suspeitos e opte por sites confiáveis.