Зловреден софтуер GoPIX

GoPIX заплашва софтуер, специално проектиран да компрометира платформата за незабавни плащания Pix. По същество този зловреден софтуер функционира като клипер, пренасочващ транзакциите, извършвани през платформата Pix. Освен това, той работи като конвенционален клипер, разширявайки обхвата си, за да включва транзакции с криптовалута.

GoPIX е в обращение поне от декември 2022 г. Като се има предвид, че Pix е платежна платформа, създадена и контролирана от Централната банка на Бразилия (BCB), нейната потребителска база се състои предимно от бразилски граждани. Следователно дейностите на GoPIX са предимно ограничени до бразилския пейзаж.

Веригата за заразяване със злонамерен софтуер GoPIX

Инфекциите с GoPIX произхождат от заплашителни уебсайтове, които се популяризират чрез измамни реклами, техника, известна като злонамерена реклама, често използвана при отравяне на търсачките. В момента зловреден софтуер се придобива от един от два източника, като изборът зависи от това дали устройството на жертвата има отворен порт 27275.

Този конкретен порт обикновено се свързва с легитимен и сигурен банков продукт. В случаите, когато този софтуер липсва в целевата система, се извлича пакет за инсталиране на NSIS, съдържащ PowerShell скриптове и допълнителни компоненти. Това инициира веригата на заразяване, което в крайна сметка води до внедряването на GoPIX. Въпреки това, ако конкретният софтуер е наличен, се изтегля ZIP архив, в който LNK файл съдържа PowerShell скрипт, който допълнително задвижва веригата на заразяване.

Както бе споменато по-рано, GoPIX функционира като злонамерен софтуер тип клипер. Тази категория зловреден софтуер следи съдържанието, копирано в клипборда (буфера за копиране и поставяне) и го заменя с различна информация, като в крайна сметка променя това, което е поставено.

В случая на GoPIX, той специално сканира за Pix трансфери. Когато открие искане за плащане, той се намесва, като замества данните, ефективно пренасочвайки транзакцията към киберпрестъпниците. Трябва да се отбележи, че информацията, използвана от нападателя, не е твърдо свързана със зловреден софтуер, но е гъвкава и се извлича от сървър за командване и контрол (C&C).

Освен това GoPIX работи като клипер, който е насочен към адреси на портфейли с криптовалута, по-често срещан вариант. В този случай обаче адресите на портфейлите Bitcoin и Ethereum са предварително определени, за разлика от Pix данните, които се манипулират динамично.

Зловреден софтуер GoPIX може да се разпространява чрез измамни реклами

Наблюдавано е, че GoPIX се разпространява чрез кампании за злонамерена реклама, по-конкретно включващи форма на отравяне на оптимизацията за търсачки (SEO). Тази тактика включва манипулиране на най-добрите резултати от търсенето, обикновено реклами, които се появяват, когато конкретна заявка бъде въведена в търсачката. Тези променени резултати пренасочват потребителите към злонамерени уебсайтове.

В тези случаи избраната заявка за търсене беше „WhatsApp web“ и рекламите, представени като най-добри резултати, доведоха до или инициираха вериги от пренасочване към злонамерени уеб страници. По-специално, уебсайтовете, известни с разпространението на GoPIX, използваха законни инструменти за филтриране на своите посетители, като гарантираха, че само истински потребители имат достъп до съдържанието, като същевременно осуетяват ботове. Тези измамни страници са създадени да приличат на официалния уебсайт на WhatsApp.

Важно е да се признае, че GoPIX може да се разпространява и чрез алтернативни методи. Техниките за фишинг и социално инженерство обикновено се използват при разпространението на този зловреден софтуер. Типичните начини за разпространение включват скрити изтегляния, включването на злонамерени прикачени файлове или връзки в спам съобщения (напр. имейли, лични съобщения, текстови съобщения и т.н.), онлайн измами, злонамерена реклама, подозрителни източници на изтегляне (като безплатен софтуер и безплатни файлове -хостинг платформи, мрежи за споделяне peer-to-peer и т.н.), незаконни инструменти за кракване на софтуер и подкани за фалшиви софтуерни актуализации.