Una campaña de malware en curso activa a lo largo de 2025 está utilizando malvertimiento para ofrecer un marco sofisticado basado en PowerShell. Según los investigadores de Cisco Talos, el malware se llama «PS1BOT» debido a sus similitudes con la familia de malware AHK Bot. Implementa múltiples módulos maliciosos capaces de robar información confidencial, registrar pulsaciones de teclas, capturar pantallas y mantener la persistencia. La cadena de infección comienza cuando las víctimas descargan un archivo comprimido de un enlace de envenenamiento de publicidad maliciosa o de optimización de motores de búsqueda (SEO). El archivo contiene un archivo JavaScript, «Document.js completo», incrustado con VBScript. Una vez ejecutado, recupera un script de PowerShell que encuesta un servidor de comando y control (C2) para más módulos. Estos se ejecutan en la memoria, reduciendo las huellas forenses. Lea más sobre el apalancamiento de malware Malvertising para su distribución: NCSC publica consejos para abordar la amenaza malvada Talos ha identificado distintos módulos que funcionan: la persistencia del sistema de monitoreo de la billetera de criptomonedas de captura de pantalla de detección de antivirus y el robo de datos del navegador de controles de monitoreo de la información del sistema de monitoreo del sistema de monitoreo de cada módulo. En particular, el módulo «Grabber» se dirige a docenas de navegadores web y extensiones de billetera de criptomonedas, buscando unidades locales para archivos que contienen frases o contraseñas de semillas de billetera antes de comprimirlas y exfiltrarlas. La herramienta de captura de pantalla compila y ejecuta el código C# en tiempo de ejecución para generar capturas de pantalla JPEG, que luego se codifican y se envían al servidor C2. El Keylogger utiliza ganchos de API de Windows para capturar pulsaciones de teclas y eventos del mouse, junto con el contenido del portapapeles. La persistencia se logra creando scripts y atajos de PowerShell que reinician el bucle C2 en el inicio del sistema. Si bien Talos no ha observado directamente el binario de Sketnet, se superpone a la infraestructura, el diseño del módulo y la construcción de URL sugieren enlaces a campañas que distribuyen Skitnet/Bossnet. Los investigadores también señalan similitudes arquitectónicas con AHK Bot, incluido el uso de números de serie de la unidad para construir rutas C2 y un diseño modular que permite actualizaciones rápidas. Talos ha evaluado que probablemente existan módulos PS1BOT adicionales y no descubiertos. El marco flexible y el desarrollo activo del malware indican que continuará evolucionando a medida que los atacantes adapten sus capacidades.