Los investigadores de ciberseguridad han descubierto una nueva campaña malvertida que está diseñada para infectar a las víctimas con un marco de malware de varias etapas llamado PS1BOT.
«PS1BOT presenta un diseño modular, con varios módulos entregados utilizados para realizar una variedad de actividades maliciosas en sistemas infectados, incluidos el robo de información, el keylogging, el reconocimiento y el establecimiento del acceso al sistema persistente», dijeron los investigadores de Cisco Talos Edmund Brumaghin y Jordyn Dunk.
«PS1BOT ha sido diseñado con sigilo en mente, minimizando los artefactos persistentes que quedan en los sistemas infectados e incorporando técnicas de ejecución en memoria para facilitar la ejecución de módulos de seguimiento sin requerir que se escriban en el disco».
Se ha encontrado que las campañas que distribuyen el malware PowerShell y C# están activos desde principios de 2025, aprovechando la malvertición como un vector de propagación, con las cadenas de infección que ejecutan módulos en memoria para minimizar el sendero forense. Se evalúa que PS1BOT comparte superposiciones técnicas con Ahk Bot, un malware basado en Autohotkey previamente utilizado por los actores de amenaza Asylum Ambuscade y TA866.
Además, el clúster de actividad se ha identificado como superpuesto con campañas anteriores relacionadas con el ransomware utilizando un malware llamado Sketnet (también conocido como BossNet) con el objetivo de robar datos y establecer un control remoto sobre hosts comprometidos.
El punto de partida del ataque es un archivo comprimido que se entrega a las víctimas a través de malvertimiento o envenenamiento de optimización de motores de búsqueda (SEO). Presente dentro del archivo ZIP hay una carga útil de JavaScript que sirve como descargador para recuperar un scriptlet de un servidor externo, que luego escribe un script de PowerShell en un archivo en el disco y lo ejecuta.
El script de PowerShell es responsable de contactar a un servidor de comando y control (C2) y obtener comandos de PowerShell de la próxima etapa que permitan a los operadores aumentar la funcionalidad del malware de manera modular y llevar a cabo una amplia gama de acciones en el host comprometido-
- Detección antivirus, que obtiene e informa la lista de programas antivirus presentes en el sistema infectado
- Captura de pantalla, que captura capturas de pantalla en sistemas infectados y transmite las imágenes resultantes al servidor C2
- Grabador de billetera, que roba datos de navegadores web (y extensiones de billetera), datos de aplicaciones para aplicaciones de billetera de criptomonedas y archivos que contienen contraseñas, cadenas confidenciales o frases de semillas de billetera
- Keylogger, que registra el contenido de portapapeles y registra el contenido de portapapeles
- Recopilación de información, que recolecta y transmite información sobre el sistema y el entorno infectados al atacante
- Persistencia, que crea un script de PowerShell de tal manera que se lanza automáticamente cuando el sistema se reinicia, incorporando la misma lógica utilizada para establecer el proceso de votación C2 para obtener los módulos
«La implementación del módulo del robador de información aprovecha las listas de palabras integradas en el robador para enumerar archivos que contienen contraseñas y frases de semillas que pueden usarse para acceder a las billeteras de criptomonedas, que el robador también intenta exfiltrarse de sistemas infectados», señaló Talos.
«La naturaleza modular de la implementación de este malware proporciona flexibilidad y permite la implementación rápida de actualizaciones o una nueva funcionalidad según sea necesario».
La divulgación se produce cuando Google dijo que está aprovechando los sistemas de inteligencia artificial (IA) alimentada por modelos de idiomas grandes (LLM) para combatir el tráfico inválido (IVT) e identificar con mayor precisión las ubicaciones de anuncios que generan comportamientos no válidos.
«Nuestras nuevas aplicaciones proporcionan protecciones más rápidas y más fuertes mediante el análisis de la aplicación y el contenido web, las ubicaciones de anuncios y las interacciones de los usuarios», dijo Google. «Por ejemplo, han mejorado significativamente nuestras capacidades de revisión de contenido, lo que lleva a una reducción del 40% en IVT derivado de prácticas de servicio de anuncios engañosas o disruptivas».
