Investigadores han identificado una nueva campaña de malvertising diseñada para propagar PS1Bot, un framework de malware de múltiples etapas capaz de ejecutar módulos maliciosos directamente en memoria. Entre sus funcionalidades destacan el robo de información, registro de pulsaciones de teclado (keylogging), reconocimiento del sistema y establecimiento de acceso persistente.
De acuerdo con los investigadores Edmund Brumaghin y Jordyn Dunk, PS1Bot está optimizado para operar con alto nivel de sigilo, minimizando rastros persistentes y utilizando técnicas de ejecución en memoria que dificultan el análisis forense. Su diseño modular permite añadir o actualizar funcionalidades rápidamente según las necesidades del atacante.
Origen y cadena de infección
La actividad de distribución de PS1Bot ha sido rastreada desde inicios de 2025, utilizando como vector principal la publicidad maliciosa (malvertising) y técnicas de envenenamiento de resultados en buscadores (SEO poisoning).
El ataque comienza con la entrega de un archivo comprimido (ZIP) a la víctima. Dentro se encuentra un archivo JavaScript que actúa como descargador, obteniendo desde un servidor remoto un scriptlet que escribe un script de PowerShell en el disco y lo ejecuta. Este script inicial se conecta a un servidor de comando y control (C2) para descargar instrucciones y módulos adicionales, que se ejecutan directamente en memoria para evadir detecciones.
Capacidades maliciosas de PS1Bot
Los módulos identificados permiten a los atacantes:
Detección de antivirus: Lista y reporta soluciones de seguridad instaladas.
Captura de pantalla: Toma imágenes del escritorio y las envía al C2.
Robo de criptomonedas: Extrae información de navegadores, extensiones y aplicaciones de billeteras, incluyendo archivos con contraseñas, frases semilla y datos sensibles.
Keylogger y clipboard hijacking: Registra pulsaciones y contenido del portapapeles.
Recolección de información: Envía datos detallados del sistema y entorno al atacante.
Persistencia: Crea scripts de PowerShell que se ejecutan al reiniciar, replicando la lógica de conexión al C2.
Según los investigadores, el módulo de robo de información incluye diccionarios predefinidos para identificar archivos que puedan contener credenciales o frases semilla, optimizando así la búsqueda de activos relacionados con criptomonedas.
Vínculos con campañas previas
PS1Bot comparte similitudes técnicas con AHK Bot, un malware basado en AutoHotkey usado por los grupos Asylum Ambuscade y TA866. Además, su actividad se superpone con campañas previas de ransomware que emplearon el malware Skitnet (también conocido como Bossnet) para robar información y tomar control remoto de equipos comprometidos.
Impacto en la seguridad publicitaria
La revelación de esta campaña coincide con el anuncio de Google sobre el uso de inteligencia artificial (IA) y modelos de lenguaje (LLM) para combatir el tráfico inválido (IVT) y mejorar la detección de anuncios con comportamientos engañosos. Según Google, estas mejoras han reducido en un 40% el IVT proveniente de prácticas publicitarias disruptivas.
Recomendaciones para las organizaciones
Para mitigar el riesgo de infección con PS1Bot y otras amenazas similares, se recomienda:
Bloquear y filtrar descargas de archivos comprimidos y ejecutables desde publicidad o enlaces no verificados.
Implementar soluciones EDR/antimalware con capacidad de análisis en memoria.
Mantener actualizadas las listas de bloqueo para servidores C2 conocidos.
Aplicar políticas de restricción de ejecución de scripts (PowerShell, JavaScript) por defecto.
Monitorear conexiones salientes inusuales y picos de tráfico hacia dominios desconocidos.
Capacitar al personal sobre riesgos de malvertising y técnicas de phishing asociadas.
Realizar auditorías regulares para detectar configuraciones de persistencia no autorizadas.
La combinación de ejecución en memoria, diseño modular y distribución mediante publicidad maliciosa convierte a PS1Bot en una amenaza de alta prioridad para equipos de seguridad corporativa.
