Um novo malware altamente sofisticado chamado PS1Bot está se espalhando pela internet por meio de anúncios falsos e otimização maliciosa de resultados de busca, com o objetivo de invadir computadores com Windows, roubar senhas, acessar carteiras de criptomoedas e até gravar a tela das vítimas.
A campanha foi identificada por pesquisadores da DediRock Security e utiliza uma tática conhecida como malvertising, onde anúncios aparentemente legítimos direcionam o usuário para o download de um arquivo ZIP malicioso. Ao abrir o conteúdo, o sistema da vítima é comprometido por meio de um script PowerShell que roda em memória, dificultando a detecção por antivírus tradicionais.
Como o ataque funciona:
O PS1Bot age em múltiplas etapas:
-
O usuário clica em um anúncio falso ou resultado patrocinado no Google.
-
Um arquivo ZIP é baixado, contendo um JavaScript disfarçado com nomes comuns como “manual”, “comprovante” ou “relatório”.
-
Esse script ativa um downloader remoto que executa códigos maliciosos via PowerShell.
-
O malware opera 100% na memória RAM, sem instalar arquivos visíveis no disco rígido.
O que o PS1Bot pode fazer:
-
Roubo de senhas salvas em navegadores e aplicativos;
-
Captura de tela e gravação em tempo real, enviando as imagens ao servidor do invasor;
-
Keylogger para registrar tudo que é digitado;
-
Acesso a carteiras de criptomoedas e dados financeiros;
-
Verificação e desativação de antivírus ou sistemas de proteção;
-
Instalação de scripts de persistência no sistema, garantindo que o malware continue ativo mesmo após reinicializações.
Por que o PS1Bot é tão perigoso?
O PS1Bot representa um novo padrão entre os malwares modernos:
-
Executa todos os comandos diretamente da memória, sem rastros visíveis.
-
Se distribui por anúncios pagos e bem posicionados no Google, o que engana até usuários mais atentos.
-
É modular e adaptável, podendo evoluir conforme o criminoso atualiza os servidores de controle.
Como se proteger:
-
Evite clicar em anúncios patrocinados, especialmente quando estiver procurando por softwares, documentos ou serviços técnicos.
-
Não baixe arquivos ZIP, EXE ou JS de sites desconhecidos.
-
Mantenha o Windows e seus programas atualizados, principalmente navegadores e ferramentas de segurança.
-
Utilize antivírus com proteção em tempo real e verificação de scripts.
-
Instale bloqueadores de anúncios para reduzir o risco de exposição a malvertising.
Casos recentes e contexto global
O uso de malvertising não é novo, mas está crescendo. Em 2024 e 2025, diversas campanhas exploraram plataformas como YouTube, Facebook Ads e sites falsos para espalhar malwares como AsyncRAT, AgentTesla, FakeUpdates e agora o PS1Bot. Segundo empresas de segurança como Avast e ESET, o uso de engenharia social somado à otimização SEO torna essas ameaças mais difíceis de rastrear e bloquear.
O PS1Bot é uma ameaça silenciosa e eficaz, que aproveita brechas de comportamento e falhas de atenção do usuário para se infiltrar e espionar sistemas inteiros. O mais alarmante é que tudo isso começa com um simples clique em um anúncio.
A dica principal é simples, mas poderosa: se você não tem certeza da origem de um arquivo ou link, não clique. Desconfie sempre.
