Anúncios falsos distribuem malware espião PS1Bot, capaz de roubar senhas e até gravar telas

14 ago Anúncios falsos distribuem malware espião PS1Bot, capaz de roubar senhas e até gravar telas

Posted at 08:00h in Tech-Pt-br by

A Cisco Talos descobriu uma nova campanha que utiliza anúncios online para disseminar malware. A investida infecta os dispositivos-alvo, geralmente baseados em Windows ou C#, com uma variedade de softwares maliciosos – capazes de gravar a tela e registrar teclas pressionadas de forma persistente.

O ataque se caracteriza como um malvertising, tipo de ciberataque que usa anúncios online para distribuir malware — neste caso, o framework PS1Bot. Além de anúncios maliciosos, os criminosos também espalham o software por páginas otimizadas para aparecer entre os primeiros resultados do Google.

“O PS1Bot apresenta um design modular, com vários módulos usados para executar uma variedade de atividades maliciosas em sistemas infectados, incluindo roubo de informações, keylogging, reconhecimento e estabelecimento de acesso persistente ao sistema”, explicaram Edmund Brumaghin e Jordyn Dunk, pesquisadores da Cisco Talos.

A campanha distribui malware por meio de anúncios online e páginas estruturadas para ranquear bem no Google. (Fonte: Getty Images)

Segundo os especialistas, o PS1Bot foi desenvolvido para operar de forma discreta, deixando o mínimo de vestígios e incorporando técnicas de execução diretamente na memória RAM, evitando gravações no armazenamento.

Como o PS1Bot é disseminado

Na campanha, o usuário é convencido a baixar um arquivo compactado malicioso contendo o PS1Bot. Entre os arquivos identificados estão:

chapter 8 medicare benefit policy manual.zipCounting Canadian Money Worksheets pdf.zip.e49zebra gx430t manual.zip.081kosher food list pdf (1).zip.c9apambu panchangam 2024-25 pdf.zip.a7a

Dentro de cada pasta compactada, há um único arquivo chamado FULL DOCUMENT.js, que atua como baixador para a segunda etapa da infecção.

Estrutura e funcionalidades

Apesar do nome, o PS1Bot não tem qualquer relação com o console da Sony. Trata-se, na verdade, de um framework construído em PowerShell com uma arquitetura modular, na qual cada componente desempenha funções específicas no sistema infectado:

Detecção antivírus: verifica a presença de softwares de segurança ativos;Captura de tela: tira prints de forma recorrente;Wallet grabber: rouba dados de navegadores, extensões de carteiras de criptomoedas e arquivos com senhas e frases de segurança;Keylogger: registra teclas digitadas e o conteúdo da Área de Transferência;Coleta de informações: envia dados do dispositivo para os atacantes;Persistência: cria um script que inicia junto ao sistema operacional para manter a conexão com o invasor.

Essa arquitetura modular facilita a manutenção do malware, permitindo que os atacantes atualizem apenas componentes específicos sem substituir todo o código.

Como se proteger do PS1Bot

Para reduzir o risco de infecção pelo PS1Bot, é importante seguir algumas boas práticas de segurança digital:

Desconfie de páginas e links exibidos em anúncios online;Verifique a origem de todos os arquivos antes de baixá-los;Evite instalar softwares ou abrir arquivos de fontes desconhecidas.

Além disso, tenha atenção redobrada sobre arquivos compactados baixados na web.

Fique ligado: Emirates vai proibir uso de power banks nos voos

Quer se manter protegido contra ameaças digitais? Continue acompanhando o TecMundo para receber alertas, análises e dicas de segurança que ajudam a manter seus dispositivos seguros.