Golpe digital – Pesquisadores da Cisco Talos identificaram uma nova campanha de malvertising — um tipo de ataque que utiliza anúncios online como porta de entrada para infecções digitais. O alvo, desta vez, é o framework PS1Bot, um malware espião com múltiplas funções, projetado para operar de forma silenciosa e eficiente em dispositivos Windows.
O PS1Bot combina um conjunto de módulos especializados para registrar atividades do usuário, como capturas de tela e teclas digitadas, além de roubar credenciais, dados de carteiras virtuais e informações sensíveis armazenadas em navegadores. A ameaça também conta com mecanismos para burlar antivírus e manter acesso persistente à máquina infectada.
LEIA: Crianças não podem ser “produtos” nas redes, defendem especialistas
A campanha começa com anúncios e páginas maliciosas otimizadas para aparecer entre os primeiros resultados do Google. Ao acessar esses conteúdos, a vítima é induzida a baixar um arquivo compactado com nomes aparentemente inofensivos — como chapter 8 medicare benefit policy manual.zip ou Counting Canadian Money Worksheets pdf.zip.e49.
Dentro do pacote, há sempre um único arquivo chamado FULL DOCUMENT.js, que funciona como um “baixador” para a segunda etapa da infecção, instalando os componentes do PS1Bot.
Estrutura modular e recursos
Apesar do nome, o PS1Bot não tem relação com consoles de videogame. Ele foi desenvolvido em PowerShell, com arquitetura modular — cada parte executa uma função específica, incluindo:
– Detecção de antivírus: identifica softwares de segurança ativos para tentar contorná-los
– Captura de tela: realiza prints de forma recorrente
– Wallet grabber: coleta dados de carteiras de criptomoedas e senhas salvas
– Keylogger: registra tudo que é digitado, além de monitorar a área de transferência
– Coleta de informações: envia dados sobre o dispositivo aos criminosos
– Persistência: adiciona scripts que garantem a execução automática junto ao sistema operacional
Esse formato modular facilita a manutenção e evolução do malware, permitindo que os atacantes atualizem funções sem substituir todo o código.
Difícil detecção
O PS1Bot foi projetado para operar de forma discreta, utilizando técnicas que executam o código diretamente na memória RAM, evitando gravações no disco rígido e deixando poucos vestígios no sistema. Essa abordagem reduz as chances de detecção por ferramentas de segurança tradicionais.
Especialistas recomendam adotar medidas preventivas, como:
– Evitar clicar em anúncios suspeitos ou de origem desconhecida
– Conferir cuidadosamente a procedência de arquivos antes de baixá-los
– Não instalar programas obtidos fora de fontes oficiais ou confiáveis
– Redobrar a atenção com arquivos compactados baixados da internet
Segundo os pesquisadores, manter práticas de segurança digital e atenção constante é essencial para reduzir os riscos de infecção.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/EyeEm)
