البرامج الضارة GoPIX

تهدد GoPIX البرامج المصممة خصيصًا لاختراق منصة الدفع الفوري Pix. في جوهرها، تعمل هذه البرامج الضارة بمثابة أداة قص، حيث تعيد توجيه المعاملات التي تتم من خلال منصة Pix. بالإضافة إلى ذلك، فهي تعمل كمقص تقليدي، مما يوسع نطاقها ليشمل معاملات العملة المشفرة.

تم تداول GoPIX منذ ديسمبر 2022 على الأقل. وبالنظر إلى أن Pix عبارة عن منصة دفع أنشأها ويشرف عليها البنك المركزي البرازيلي (BCB)، فإن قاعدة مستخدميها تتألف في الغالب من مواطنين برازيليين. وبالتالي، تقتصر أنشطة GoPIX في المقام الأول على المناظر الطبيعية البرازيلية.

سلسلة عدوى البرامج الضارة GoPIX

تنشأ عدوى GoPIX من مواقع الويب التهديدية التي يتم الترويج لها من خلال الإعلانات الخادعة، وهي تقنية تُعرف باسم الإعلانات الضارة، والتي تُستخدم غالبًا في إفساد محركات البحث. في الوقت الحالي، يتم الحصول على البرامج الضارة من أحد المصدرين، ويعتمد الاختيار على ما إذا كان جهاز الضحية به منفذ 27275 مفتوحًا.

يرتبط هذا المنفذ المحدد عادةً بمنتج مصرفي شرعي وآمن. في الحالات التي يكون فيها هذا البرنامج غير موجود على النظام المستهدف، يتم استرداد حزمة تثبيت NSIS، التي تحتوي على نصوص PowerShell النصية ومكونات إضافية. يؤدي هذا إلى بدء سلسلة العدوى، مما يؤدي في النهاية إلى نشر GoPIX. ومع ذلك، إذا كان البرنامج المحدد موجودًا، فسيتم تنزيل أرشيف ZIP، حيث يحتوي ملف LNK على برنامج PowerShell النصي الذي يدفع سلسلة العدوى بشكل أكبر.

كما ذكرنا سابقًا، يعمل GoPIX كبرنامج ضار من النوع المقص. تراقب هذه الفئة من البرامج الضارة المحتويات المنسوخة في الحافظة (مخزن النسخ واللصق المؤقت) وتستبدلها بمعلومات مختلفة، مما يؤدي في النهاية إلى تغيير ما تم لصقه.

في حالة GoPIX، فإنه يقوم بالمسح على وجه التحديد بحثًا عن عمليات نقل Pix. عندما يكتشف طلب دفع، فإنه يتدخل عن طريق استبدال البيانات، ويعيد توجيه المعاملة بشكل فعال إلى مجرمي الإنترنت. والجدير بالذكر أن المعلومات التي يستخدمها المهاجم ليست مدمجة في البرامج الضارة ولكنها مرنة ويتم استرجاعها من خادم الأوامر والتحكم (C&C).

بالإضافة إلى ذلك، يعمل GoPIX كأداة قص تستهدف عناوين محفظة العملات المشفرة، وهو متغير أكثر شيوعًا. ومع ذلك، في هذه الحالة، يتم تحديد عناوين محفظة Bitcoin وEthereum مسبقًا، على عكس بيانات Pix، التي يتم معالجتها ديناميكيًا.

يمكن أن تنتشر البرامج الضارة GoPIX من خلال الإعلانات الاحتيالية

لوحظ أن GoPIX ينتشر من خلال الحملات الإعلانية الضارة، والتي تتضمن على وجه التحديد شكلاً من أشكال التسمم بتحسين محركات البحث (SEO). يستلزم هذا التكتيك معالجة أهم نتائج البحث، عادةً الإعلانات، التي تظهر عند إدخال استعلام محدد في محرك البحث. تعمل هذه النتائج المعدلة على إعادة توجيه المستخدمين إلى مواقع الويب الضارة.

في هذه الحالات، كان استعلام البحث الذي تم اختياره هو "WhatsApp web"، وأدت الإعلانات المقدمة كأفضل النتائج إلى سلسلة من عمليات إعادة التوجيه إلى صفحات ويب ضارة أو بدأتها. والجدير بالذكر أن مواقع الويب المعروفة بنشر GoPIX استخدمت أدوات شرعية لتصفية زوارها، مما يضمن أن المستخدمين الحقيقيين فقط هم الذين يمكنهم الوصول إلى المحتوى أثناء إحباط الروبوتات. تم تصميم هذه الصفحات الخادعة لتشبه موقع WhatsApp الرسمي.

من الضروري أن ندرك أنه يمكن أيضًا توزيع GoPIX من خلال طرق بديلة. تُستخدم تقنيات التصيد الاحتيالي والهندسة الاجتماعية بشكل شائع في انتشار هذه البرامج الضارة. تشمل طرق التوزيع النموذجية التنزيلات الخفية، وإدراج المرفقات أو الروابط الضارة في رسائل البريد العشوائي (على سبيل المثال، رسائل البريد الإلكتروني، والرسائل الخاصة، والرسائل النصية، وما إلى ذلك)، وعمليات الاحتيال عبر الإنترنت، والإعلانات الضارة، ومصادر التنزيل المشبوهة (مثل البرامج المجانية والملفات المجانية). - منصات الاستضافة، وشبكات المشاركة من نظير إلى نظير، وما إلى ذلك)، وأدوات اختراق البرامج غير القانونية، والمطالبات المزيفة بتحديث البرامج.