Schedule a Strategy Call

El malware PS1Bot se esconde en anuncios online y ataca la memoria del sistema

¿Qué es PS1Bot y cómo funciona?
  • PS1Bot es un framework modular de malware, que combina PowerShell y C#, y permite a los atacantes realizar múltiples acciones maliciosas desde un mismo sistema comprometido.
  • Este malware está diseñado teniendo como prioridad la sigilosidad, usando técnicas de ejecución completamente en memoria, sin dejar rastros en el disco, lo cual dificulta su detección.
¿Cómo se propaga?
  1. La infección inicia mediante malvertising o campañas de optimización SEO maliciosas.
  2. Las víctimas descargan archivos comprimidos (ZIP) con nombres engañosos como chapter 8 medicare benefit policy manual.zip o zebra gx430t manual.zip.081.
  3. Al explotar el archivo, se ejecuta un payload JavaScript que actúa como downloader, recupera un script PowerShell desde un servidor remoto y lo ejecuta.
¿Qué hace el malware una vez activo?

El malware descarga módulos adicionales que permiten:

  • Detectar y reportar qué antivirus están activos en el sistema.
  • Capturar pantallazos.
  • Robar datos relacionados con criptomonedas, como contraseñas y frases semilla.
  • Registrar pulsaciones de teclas y contenido del portapapeles.
  • Recopilar información del sistema afectado.
  • Establecer persistencia, para mantenerse activo después de reinicios, replicando la lógica de llamado al servidor C2.
¿Por qué es peligroso?
  • Evasión forense: al trabajar casi totalmente en memoria, deja pocos rastros en el sistema.
  • Alta funcionalidad: combina capacidades de espionaje, robo de credenciales, vigilancia y control persistente.
  • Propagación continua: se ha detectado activo desde principios de 2025, y sigue evolucionando con nuevas muestras.
Recomendaciones
  • Bloquear malvertising con extensiones o soluciones de seguridad que filtren anuncios maliciosos (uBlock Origin, AdGuard, DNS filtrante).
  • Restringir la ejecución de PowerShell y JavaScript desconocidos mediante políticas de grupo (GPO).
  • Activar PowerShell Constrained Language Mode en equipos que no requieran scripts complejos.
  • Implementar un filtro de correo y web que detecte archivos ZIP con extensiones dobles o poco comunes (.zip.081).
Back to all Post

Related Post