Malvertising em 2025: Google Ads vira isca para PS1Bot

Imagine um cenário cotidiano, um colaborador do departamento financeiro ou de operações busca no Google por um manual técnico ou um documento de apólice, como “manual zebra gx430t” ou “manual de benefícios médicos”. Ele clica em um dos primeiros resultados, que parece perfeitamente legítimo, e baixa um arquivo .zip. Esta única ação, aparentemente inofensiva, acaba de acionar um ataque sofisticado e silencioso, capaz de comprometer toda a organização com um malvertising invisível.

Este não é um incidente isolado, mas parte de uma tendência em larga escala que define o cenário de ameaças em 2025. Cibercriminosos estão utilizando técnicas de malvertising (publicidade maliciosa) e envenenamento de SEO (SEO poisoning) para manipular resultados de busca e promover links que distribuem malware. Com mais de 560.000 novas amostras de malware detectadas diariamente e o phishing consolidado como um dos principais vetores de acesso inicial, a superfície de ataque digital nunca foi tão explorada.

Neste contexto, emerge o PS1Bot, um framework de malware altamente evasivo, construído sobre a plataforma PowerShell do Windows. Ao longo desse artigo iremos destrinchar a anatomia técnica do PS1Bot, analisar seu arsenal modular de espionagem, avaliar os riscos estratégicos que ele representa para a continuidade dos negócios e, por fim, apresentar uma estratégia de defesa proativa e em camadas, capaz de neutralizar ameaças “invisíveis” como esta.

Ouça o resumo do artigo:

Como funciona um ataque furtivo com o PS1Bot?

Para compreender a periculosidade do PS1Bot, é fundamental analisar sua cadeia de ataque, que foi meticulosamente projetada para explorar a confiança do usuário e as fraquezas de defesas de segurança tradicionais.

A porta de entrada: Malvertising e a erosão da confiança digital

O ponto de partida do ataque é a exploração da confiança inerente que os usuários depositam em motores de busca e anúncios online. Os operadores do PS1Bot criam campanhas de malvertising e otimizam páginas falsas para ranquear bem em buscas por palavras-chave específicas, frequentemente relacionadas a atividades corporativas rotineiras.

Os arquivos isca são nomeados de forma a parecerem documentos legítimos e inofensivos, como chapter 8 medical benefit policy manual.zip ou kosher food list pdf.zip.c9a, visando induzir o clique de profissionais em seus ambientes de trabalho.

Essa tática representa a “armazenagem da normalidade”: ao invés de usar iscas exóticas que poderiam levantar suspeitas, o ataque se camufla em atividades do dia a dia. 

Um colaborador buscando um documento de trabalho está focado na sua tarefa e menos propenso a desconfiar de um download que parece relevante. Isso demonstra que treinamentos de conscientização focados apenas em ameaças óbvias são insuficientes. 

O novo campo de batalha é o fluxo de trabalho cotidiano, tornando a ameaça muito mais insidiosa e difícil de ser percebida pelo fator humano.

A cadeia de infecção: Do JavaScript ao controle via PowerShell

Uma vez que o usuário baixa e abre o arquivo compactado, uma sequência de eventos é disparada para estabelecer o controle sobre o dispositivo:

1. O Downloader Inicial: Dentro do arquivo .zip, a vítima encontra um único arquivo chamado FULL DOCUMENT.js. O uso de um arquivo JavaScript, em vez de um executável tradicional (.exe), é uma escolha deliberada para contornar filtros de segurança básicos que bloqueiam tipos de arquivo mais conhecidos por serem maliciosos.
   
2. Execução em Múltiplos Estágios: Ao ser executado, o arquivo .js revela conter um código VBScript ofuscado. Este script funciona como um downloader, conectando-se a um servidor remoto para baixar o próximo estágio da infecção: um script PowerShell. Essa abordagem em múltiplos estágios fragmenta o ataque, dificultando a análise e a detecção por soluções de segurança que examinam apenas um componente isoladamente.
   
3. “Vivendo da Terra” (Living Off the Land): A execução do script PowerShell é o passo crítico. Esta é uma técnica clássica de “living off the land”, na qual o atacante abusa de uma ferramenta legítima, poderosa e presente em todos os sistemas Windows para executar suas ações maliciosas. Como o PowerShell é um componente confiável do sistema operacional, sua atividade maliciosa pode passar despercebida por defesas mais simples.
   
4. Comunicação com o Comando e Controle (C2): O script PowerShell estabelece uma conexão persistente com o servidor de Comando e Controle (C2) do atacante. Para tornar essa comunicação mais difícil de rastrear e bloquear, o malware constrói a URL do C2 de forma única para cada vítima, utilizando o número de série do disco rígido (C:) do sistema infectado.
   
   Essa técnica não apenas serve como um identificador único para o atacante gerenciar suas vítimas, mas também dificulta que pesquisadores de segurança prevejam os padrões de comunicação e pode funcionar como uma medida anti-sandbox, já que ambientes de análise virtualizados podem não possuir um número de série padrão.

O coração do Malware: Execução em memória para evadir a detecção

O aspecto técnico mais crucial do PS1Bot é sua natureza fileless (sem arquivo). O framework foi projetado para entregar e executar seus módulos maliciosos diretamente na memória RAM do sistema, sem a necessidade de escrever arquivos no disco rígido.

Essa técnica torna as soluções de antivírus tradicionais, baseadas em assinaturas, praticamente cegas. Como não há um arquivo malicioso no disco para ser escaneado, essas ferramentas não têm o que comparar com seus bancos de dados de ameaças conhecidas. 

A ameaça opera como um fantasma dentro de processos legítimos, tornando-se invisível para defesas que não possuem visibilidade sobre o comportamento da memória e dos processos em tempo real.

Nova campanha: PS1Bot via malvertising (multiestágio, fileless)

Campanhas recentes de malvertising voltadas ao PS1Bot reforçam seu desenho multiestágio e fileless, mas trazem dois pontos adicionais relevantes para análise de ameaça e atribuição técnica:

1. Sobreposições técnicas e histórico: foram identificadas similaridades com o AHK Bot, anteriormente associado aos atores Asylum Ambuscade e TA866, além de vínculos com cadeias que empregavam Skitnet/Bossnet para exfiltração e controle remoto. Esses cruzamentos ajudam a entender a evolução do ecossistema e a priorizar hipóteses de TTPs na resposta.

2. Amostras/iscas observadas recentemente: além das já vistas em campanhas de PS1Bot (chapter 8 medical benefit policy manual.zip e kosher food list pdf.zip.c9a), foram observados outros nomes de arquivos que exploram buscas comuns do dia a dia:

• Counting Canadian Money Worksheets Pdf.zip.e49
• zebra gx430t manual.zip.081
• pambu panchangam 2024-25 pdf.zip.a7a

Em outras palavras, a campanha preserva o encadeamento fileless, mas amplia a superfície de iscas e sugere linhas de atribuição a partir das sobreposições observadas.

Um arsenal completo: Os módulos de espionagem do PS1Bot

A arquitetura modular do PS1Bot permite que os atacantes implantem um arsenal versátil de ferramentas de espionagem, transformando um dispositivo infectado em um posto avançado para coleta de informações e vigilância contínua.

Módulo “Grabber”: O ladrão de identidades digitais

Este é o principal módulo de roubo de dados, projetado para extrair sistematicamente informações sensíveis da máquina da vítima. 

Seus alvos incluem:

• Dados de Navegadores: Credenciais salvas, cookies de sessão, tokens de autenticação e histórico de navegação de dezenas de navegadores populares.
• Ativos de Criptomoedas: Informações de aplicativos de carteiras de criptomoedas e de extensões de navegador relacionadas.
• Arquivos Sensíveis: O módulo varre ativamente os discos locais em busca de arquivos que contenham palavras-chave como “password”, “senha” ou “wallet seed phrases” para identificar e roubar dados críticos.
  

Todos os dados coletados são compactados e enviados para o servidor C2 através de requisições HTTP, muitas vezes disfarçadas de tráfego web normal.

Módulos de vigilância e evasão: Olhos e ouvidos do invasor

Para complementar o roubo de dados, o PS1Bot implanta módulos adicionais que fornecem aos atacantes controle e visibilidade completos sobre as atividades do usuário:

• Keylogger e Monitor de Área de Transferência: Captura cada tecla digitada e evento do mouse, além de todo o conteúdo copiado para a área de transferência. Isso fornece aos atacantes acesso a senhas, mensagens privadas e outras informações confidenciais em tempo real.
• Captura de Tela: Tira screenshots periódicos da área de trabalho da vítima, converte as imagens para o formato JPEG e as envia ao C2. Isso oferece um contexto visual completo das atividades do usuário, permitindo aos atacantes entenderem quais aplicações e dados são mais valiosos.
• Detecção de Antivírus: Um dos primeiros módulos a ser executado após a infecção consulta o sistema (via WMI) para identificar quais produtos de segurança estão instalados. Essa informação é enviada de volta ao C2, permitindo que o atacante adapte os próximos estágios do ataque para evadir as defesas específicas presentes no ambiente.
• Módulo de Persistência: Para garantir que o acesso ao sistema sobreviva a uma reinicialização, o malware cria um arquivo de atalho (.LNK) no diretório de inicialização do Windows. Esse atalho aponta para um script PowerShell que restabelece a comunicação com o C2 sempre que o sistema é ligado, garantindo ao atacante acesso de longo prazo.

O impacto estratégico: Por que o PS1Bot ameaça a continuidade de negócios

A infecção por PS1Bot não é apenas um incidente técnico isolado; ela representa uma ameaça estratégica com potencial para paralisar operações e gerar perdas financeiras massivas.

A porta de entrada para o ransomware

Uma infecção por PS1Bot raramente é o estágio final de um ataque. Ele funciona como uma ferramenta para Corretores de Acesso Inicial (Initial Access Brokers – IABs), grupos criminosos especializados em obter acesso a redes corporativas para depois vendê-lo no mercado clandestino.

As credenciais e o acesso obtidos pelo PS1Bot são commodities valiosas na dark web, frequentemente comercializadas com gangues de ransomware.

O que começa com um “pequeno” vazamento de credenciais em uma única máquina pode rapidamente escalar para um ataque de ransomware em toda a rede, criptografando servidores, paralisando operações e resultando em um pedido de resgate de milhões de dólares. 

Portanto, o PS1Bot não é apenas um malware; é uma peça-chave em uma sofisticada cadeia de suprimentos do cibercrime. 

Defender-se contra ele não é apenas sobre prevenir o roubo de dados, mas sobre interromper o ciclo de vida do ransomware em seu estágio mais inicial e vulnerável.

Riscos financeiros, de conformidade e de reputação

Além do ransomware, os riscos de uma infecção por PS1Bot se desdobram em múltiplas frentes:

• Perdas Financeiras Diretas: As credenciais roubadas podem ser usadas para fraudes financeiras diretas, especialmente o acesso a plataformas de internet banking, sistemas de pagamento e carteiras de criptomoedas.
• Violações de Conformidade (LGPD): A exfiltração de dados pessoais de clientes ou funcionários constitui uma violação de dados sob regulamentações como a Lei Geral de Proteção de Dados (LGPD). Isso expõe a organização a multas significativas, ações judiciais e um dano reputacional que pode erodir a confiança do mercado.
• Espionagem Corporativa: Em ataques direcionados, as capacidades de vigilância do PS1Bot (keylogging, captura de tela) podem ser usadas para roubar propriedade intelectual, segredos comerciais e planos de negócio estratégicos, oferecendo uma vantagem competitiva desleal a concorrentes.

Defesa em camadas: A resposta proativa da Asper contra ameaças “Fileless”

Enfrentar uma ameaça como o PS1Bot, que foi projetada para ser invisível, exige uma mudança de paradigma, da proteção de perímetro passiva para a detecção comportamental ativa e uma resposta orquestrada.

Detecção comportamental: Tornando o invisível, visível com CrowdStrike Falcon Complete

A razão pela qual o antivírus tradicional falha contra o PS1Bot é porque ele procura por arquivos maliciosos. A resposta moderna está em procurar por comportamentos maliciosos. A solução CrowdStrike Falcon Complete, uma plataforma avançada de Detecção e Resposta de Endpoint (EDR/XDR), foi projetada exatamente para isso.

Em vez de depender de assinaturas, o Falcon monitora o comportamento dos processos em tempo real. Ele é capaz de detectar as atividades anômalas do PowerShell.exe, como o estabelecimento de conexões de rede suspeitas, a consulta a produtos de antivírus ou a injeção de código em outros processos para registrar teclas. 

Essa análise comportamental identifica a ameaça em tempo real, mesmo sem um arquivo para escanear. Uma vez detectada a ameaça, a plataforma pode executar ações de contenção automatizadas, como isolar o dispositivo comprometido da rede em minutos, cortando a comunicação com o C2 e impedindo a exfiltração de dados.

A orquestração do Cyber Fusion Center (CFC): A inteligência que conecta os pontos

A tecnologia, por si só, gera alertas. Mas são a expertise humana e os processos otimizados que transformam alertas em uma defesa eficaz. É aqui que o Cyber Fusion Center (CFC) da Asper atua como a camada de inteligência que orquestra toda a estratégia de segurança.

O papel do CFC vai muito além do monitoramento:

1. Contextualização da Ameaça: Os analistas do CFC da Asper recebem o alerta do CrowdStrike e o interpretam com base em sua profunda compreensão das Táticas, Técnicas e Procedimentos (TTPs) de ameaças como o PS1Bot e o contexto do cenário brasileiro, conhecido como “cangaço digital”.
   
2. Threat Hunting Proativo: Utilizando a visibilidade fornecida pela plataforma, a equipe do CFC caça proativamente por indicadores de comprometimento semelhantes em todo o ambiente do cliente, garantindo que a ameaça seja completamente erradicada e não possa se mover lateralmente.
   
3. Resposta Orquestrada: O CFC gerencia todo o ciclo de vida do incidente, desde a detecção e contenção até a erradicação e recuperação. A comunicação clara e em português garante que a resposta seja rápida, eficaz e alinhada com os objetivos de continuidade do negócio, materializando o papel da Asper como um verdadeiro Trust Advisor.

Em um cenário de ameaças invisíveis, a visibilidade é a melhor defesa

O PS1Bot não é apenas mais um malware; é um sintoma claro da evolução das ameaças cibernéticas em direção a ataques furtivos, fileless e que abusam de ferramentas legítimas para operar sob o radar.

Essas ameaças foram projetadas para contornar os controles de segurança legados nos quais muitas organizações ainda confiam, provando que o maior risco não é o ataque que você vê, mas aquele que opera silenciosamente em seus sistemas.

A verdadeira resiliência cibernética não é alcançada com a compra de uma única ferramenta, mas com uma mudança fundamental de paradigma: da segurança passiva e reativa para uma estratégia proativa e orquestrada. 

Essa abordagem, que a Asper chama de Segurança em Camadas, integra tecnologia avançada de detecção comportamental, processos de resposta otimizados e uma profunda expertise humana. 

A questão não é mais se sua defesa pode bloquear malwares conhecidos, mas se ela possui a visibilidade necessária para deter um adversário que já está operando dentro da sua rede.

O PS1Bot é a ameaça de hoje, sua organização está preparada para a de amanhã? 

Fale com nossos especialistas e descubra como a abordagem proativa da Asper pode blindar sua operação financeira e estratégica.