Uma nova campanha de malvertising está espalhando o malware modular PS1Bot, utilizando anúncios maliciosos para atrair vítimas. O ataque começa com o download de um arquivo ZIP que contém um script JavaScript responsável por iniciar toda a cadeia de infecção. O JavaScript baixa e executa um script em PowerShell que carrega o PS1Bot diretamente na memória do sistema, evitando gravações em disco e dificultando a detecção por antivírus convencionais. Com um design modular, o PS1Bot pode executar funções como roubo de informações, keylogging, mapeamento do sistema e manutenção de acesso persistente.
Pesquisadores apontam que essa campanha, ativa desde o início de 2025, apresenta semelhanças técnicas com o AHK Bot, usado anteriormente em ataques atribuídos aos grupos Asylum Ambuscade e TA866. Também há indícios de conexão com campanhas de ransomware que utilizam o malware Skitnet (Bossnet) para exfiltração de dados e controle remoto de sistemas. Essa combinação de malvertising e malware fileless aumenta o desafio para as equipes de segurança, já que a execução na memória reduz as chances de detecção e prolonga a permanência do invasor na rede.
Para reduzir riscos, especialistas recomendam restringir downloads de arquivos ZIP de fontes desconhecidas, inspecionar scripts antes da execução e adotar soluções EDR que monitorem atividades em memória. O caso evidencia que até interações aparentemente inofensivas, como cliques em anúncios, podem abrir portas para ataques sofisticados e persistentes, com potencial de comprometer dados e operações corporativas.
