A Cisco Talos descobriu uma nova campanha que utiliza anúncios online para disseminar malware. A investida infecta os dispositivos-alvo, geralmente baseados em Windows ou C#, com uma variedade de softwares maliciosos – capazes de gravar a tela e registrar teclas pressionadas de forma persistente.
O ataque se caracteriza como um malvertising, tipo de ciberataque que usa anúncios online para distribuir malware — neste caso, o framework PS1Bot. Além de anúncios maliciosos, os criminosos também espalham o software por páginas otimizadas para aparecer entre os primeiros resultados do Google.
“O PS1Bot apresenta um design modular, com vários módulos usados para executar uma variedade de atividades maliciosas em sistemas infectados, incluindo roubo de informações, keylogging, reconhecimento e estabelecimento de acesso persistente ao sistema”, explicaram Edmund Brumaghin e Jordyn Dunk, pesquisadores da Cisco Talos.
Segundo os especialistas, o PS1Bot foi desenvolvido para operar de forma discreta, deixando o mínimo de vestígios e incorporando técnicas de execução diretamente na memória RAM, evitando gravações no armazenamento.
Como o PS1Bot é disseminado
Na campanha, o usuário é convencido a baixar um arquivo compactado malicioso contendo o PS1Bot. Entre os arquivos identificados estão:
- chapter 8 medicare benefit policy manual.zip
- Counting Canadian Money Worksheets pdf.zip.e49
- zebra gx430t manual.zip.081
- kosher food list pdf (1).zip.c9a
- pambu panchangam 2024-25 pdf.zip.a7a
Dentro de cada pasta compactada, há um único arquivo chamado FULL DOCUMENT.js, que atua como baixador para a segunda etapa da infecção.
Estrutura e funcionalidades
Apesar do nome, o PS1Bot não tem qualquer relação com o console da Sony. Trata-se, na verdade, de um framework construído em PowerShell com uma arquitetura modular, na qual cada componente desempenha funções específicas no sistema infectado:
- Detecção antivírus: verifica a presença de softwares de segurança ativos;
- Captura de tela: tira prints de forma recorrente;
- Wallet grabber: rouba dados de navegadores, extensões de carteiras de criptomoedas e arquivos com senhas e frases de segurança;
- Keylogger: registra teclas digitadas e o conteúdo da Área de Transferência;
- Coleta de informações: envia dados do dispositivo para os atacantes;
- Persistência: cria um script que inicia junto ao sistema operacional para manter a conexão com o invasor.
Essa arquitetura modular facilita a manutenção do malware, permitindo que os atacantes atualizem apenas componentes específicos sem substituir todo o código.
Como se proteger do PS1Bot
Para reduzir o risco de infecção pelo PS1Bot, é importante seguir algumas boas práticas de segurança digital:
- Desconfie de páginas e links exibidos em anúncios online;
- Verifique a origem de todos os arquivos antes de baixá-los;
- Evite instalar softwares ou abrir arquivos de fontes desconhecidas.
Além disso, tenha atenção redobrada sobre arquivos compactados baixados na web.
- Fique ligado: Emirates vai proibir uso de power banks nos voos
Quer se manter protegido contra ameaças digitais? Continue acompanhando o TecMundo para receber alertas, análises e dicas de segurança que ajudam a manter seus dispositivos seguros.