Investigadores de ciberseguridad han detectado una nueva campaña de malvertising diseñada para infectar a las víctimas con un marco de malware de múltiples etapas llamado PS1Bot.

“PS1Bot presenta un diseño modular, con varios módulos que permiten realizar una variedad de actividades maliciosas en los sistemas infectados, incluyendo el robo de información, registro de pulsaciones de teclas (keylogging), reconocimiento del sistema y el establecimiento de acceso persistente”, señalaron los investigadores de Cisco Talos, Edmund Brumaghin y Jordyn Dunk.

Este malware ha sido diseñado con un enfoque en el sigilo, minimizando los rastros persistentes en los sistemas comprometidos e incorporando técnicas de ejecución en memoria para ejecutar módulos posteriores sin necesidad de escribirlos en disco.

Las campañas que distribuyen este malware, escrito en PowerShell y C#, han estado activas desde principios de 2025, utilizando el malvertising como vector de propagación. La cadena de infección ejecuta módulos directamente en memoria para reducir las huellas forenses. Se cree que PS1Bot comparte similitudes técnicas con AHK Bot, un malware basado en AutoHotkey previamente utilizado por los actores de amenazas Asylum Ambuscade y TA866.

Asimismo, la actividad detectada presenta coincidencias con campañas anteriores relacionadas con ransomware que usaban un malware llamado Skitnet (también conocido como Bossnet) con el objetivo de robar datos y tomar control remoto de los dispositivos comprometidos.

Cadena de infección

El ataque comienza con un archivo comprimido que se entrega a las víctimas a través de malvertising o mediante SEO poisoning. Dentro del archivo ZIP se encuentra una carga útil en JavaScript que actúa como descargador, obteniendo un scriptlet desde un servidor externo, el cual escribe un script de PowerShell en el disco y lo ejecuta.

Este script de PowerShell se conecta a un servidor de comando y control (C2) para obtener instrucciones adicionales, que permiten ampliar las funciones del malware y ejecutar diversas acciones en el sistema comprometido, como:

• Detección de antivirus: identifica y reporta las soluciones de seguridad presentes.
• Captura de pantalla: toma imágenes del escritorio y las envía al servidor C2.
• Robo de criptomonedas: sustrae información de navegadores web, extensiones de monederos digitales y aplicaciones de criptomonedas, así como archivos que contengan contraseñas, frases semilla o datos sensibles.
• Keylogger: registra pulsaciones de teclado y contenido del portapapeles.
• Recolección de información: envía al atacante datos sobre el sistema y el entorno.
• Persistencia: crea un script de PowerShell para ejecutarse automáticamente al reiniciar el sistema, manteniendo la conexión con el servidor C2 para descargar nuevos módulos.

Talos destacó que el módulo de robo de información utiliza listas de palabras integradas para localizar archivos con credenciales o frases semilla que puedan dar acceso a monederos de criptomonedas, e intenta exfiltrarlos.

“La naturaleza modular de este malware proporciona flexibilidad y permite el despliegue rápido de actualizaciones o nuevas funciones según sea necesario”, añadió Cisco Talos.

Esta revelación coincide con el anuncio de Google sobre el uso de sistemas de inteligencia artificial basados en modelos de lenguaje (LLM) para combatir el tráfico inválido (Invalid Traffic, IVT) y detectar con mayor precisión ubicaciones de anuncios que generen comportamientos fraudulentos.

“Nuestras nuevas aplicaciones ofrecen protecciones más rápidas y sólidas mediante el análisis de contenido web y de aplicaciones, ubicaciones de anuncios e interacciones de los usuarios”, explicó Google. “Por ejemplo, hemos mejorado significativamente nuestras capacidades de revisión de contenido, lo que ha llevado a una reducción del 40% en IVT generado por prácticas publicitarias engañosas o disruptivas”.

Fuente: https://thehackernews.com/2025/08/new-ps1bot-malware-campaign-uses.html