Programari maliciós GoPIX
GoPIX està amenaçant el programari dissenyat específicament per comprometre la plataforma de pagament instantani Pix. En essència, aquest programari maliciós funciona com un clipper, redirigeix les transaccions realitzades a través de la plataforma Pix. A més, funciona com un clipper convencional, ampliant el seu abast per incloure transaccions de criptomoneda.
GoPIX està en circulació almenys des de desembre de 2022. Atès que Pix és una plataforma de pagament establerta i supervisada pel Banc Central del Brasil (BCB), la seva base d'usuaris està formada principalment per ciutadans brasilers. En conseqüència, les activitats de GoPIX es limiten principalment al paisatge brasiler.
La cadena d'infecció de programari maliciós GoPIX
Les infeccions de GoPIX s'originen a partir de llocs web amenaçadors que es promocionen mitjançant anuncis enganyosos, una tècnica coneguda com a publicitat malintencionada, que s'utilitza sovint en l'enverinament dels motors de cerca. Actualment, el programari maliciós s'adquireix d'una de les dues fonts, amb la selecció en funció de si el dispositiu de la víctima té el port 27275 obert.
Aquest port en particular s'associa normalment a un producte bancari legítim i segur. En els casos en què aquest programari no està al sistema de destinació, es recupera un paquet d'instal·lació NSIS, que conté scripts de PowerShell i components addicionals. Això inicia la cadena d'infecció i, finalment, condueix al desplegament de GoPIX. Tanmateix, si el programari específic està present, es descarrega un arxiu ZIP, dins del qual un fitxer LNK conté un script de PowerShell que impulsa encara més la cadena d'infecció.
Com s'ha esmentat anteriorment, GoPIX funciona com un programari maliciós tipus clipper. Aquesta categoria de programari maliciós supervisa els continguts copiats al porta-retalls (la memòria intermèdia de còpia i enganxa) i el substitueix per informació diferent, alterant finalment el que s'enganxa.
En el cas de GoPIX, explora específicament les transferències de Pix. Quan detecta una sol·licitud de pagament, intervé substituint les dades, redirigint efectivament la transacció als ciberdelinqüents. En particular, la informació utilitzada per l'atacant no està connectada al programari maliciós, sinó que és flexible i es recupera des d'un servidor de comandament i control (C&C).
A més, GoPIX funciona com un clipper que s'orienta a les adreces de cartera de criptomoneda, una variant més comuna. Tanmateix, en aquest cas, les adreces de la cartera de Bitcoin i Ethereum estan predeterminades, a diferència de les dades de Pix, que es manipulen dinàmicament.
El programari maliciós GoPIX es podria estendre mitjançant anuncis fraudulents
S'ha observat que GoPIX es propaga a través de campanyes de publicitat malintencionada, que inclouen específicament una forma d'enverinament d'optimització de motors de cerca (SEO). Aquesta tàctica consisteix a manipular els principals resultats de la cerca, normalment anuncis, que apareixen quan s'introdueix una consulta específica en un motor de cerca. Aquests resultats alterats redirigeixen els usuaris a llocs web maliciosos.
En aquests casos, la consulta de cerca escollida va ser "WhatsApp web" i els anuncis presentats com a resultats principals van provocar o van iniciar cadenes de redirecció a pàgines web malicioses. En particular, els llocs web coneguts per difondre GoPIX van utilitzar eines legítimes per filtrar els seus visitants, assegurant-se que només els usuaris genuïns poguessin accedir al contingut mentre frustraven els robots. Aquestes pàgines enganyoses van ser creades per assemblar-se al lloc web oficial de WhatsApp.
És essencial reconèixer que GoPIX també es pot distribuir mitjançant mètodes alternatius. Les tècniques de pesca i enginyeria social s'utilitzen habitualment en la proliferació d'aquest programari maliciós. Les vies de distribució típiques inclouen descàrregues furtives, la inclusió de fitxers adjunts o enllaços maliciosos en missatges de correu brossa (per exemple, correus electrònics, missatges privats, missatges de text, etc.), estafes en línia, publicitat maliciosa, fonts de descàrregues sospitoses (com ara programari gratuït i fitxers gratuïts). -plataformes d'allotjament, xarxes d'intercanvi d'igual a igual, etc.), eines de cracking de programari il·legals i sol·licituds d'actualització de programari falses.
