Malware GoPIX

GoPIX ohrožuje software speciálně navržený tak, aby kompromitoval platformu okamžitých plateb Pix. Tento malware v podstatě funguje jako clipper, přesměrovává transakce prováděné prostřednictvím platformy Pix. Kromě toho funguje jako konvenční clipper a rozšiřuje svůj rozsah tak, aby zahrnoval transakce s kryptoměnami.

GoPIX je v oběhu minimálně od prosince 2022. Vzhledem k tomu, že Pix je platební platforma založená a dohlížená brazilskou centrální bankou (BCB), její uživatelskou základnu tvoří převážně brazilští občané. V důsledku toho jsou aktivity GoPIX primárně omezeny na brazilskou krajinu.

GoPIX Malware Infection Chain

Infekce GoPIX pocházejí z ohrožujících webových stránek, které jsou propagovány prostřednictvím klamavých reklam, což je technika známá jako malvertising, často používaná při otravě vyhledávačů. V současné době je malware získáván z jednoho ze dvou zdrojů, přičemž výběr závisí na tom, zda má zařízení oběti otevřený port 27275.

Tento konkrétní port je obvykle spojen s legitimním a bezpečným bankovním produktem. V případech, kdy tento software v cílovém systému chybí, je načten instalační balíček NSIS obsahující skripty PowerShellu a další součásti. Tím se spustí infekční řetězec, který nakonec povede k nasazení GoPIX. Pokud je však přítomen konkrétní software, stáhne se archiv ZIP, ve kterém soubor LNK obsahuje skript PowerShell, který dále pohání infekční řetězec.

Jak již bylo zmíněno, GoPIX funguje jako malware typu clipper. Tato kategorie malwaru monitoruje obsah zkopírovaný do schránky (vyrovnávací paměti pro kopírování a vkládání) a nahrazuje jej jinými informacemi, což v konečném důsledku mění to, co se vkládá.

V případě GoPIX konkrétně skenuje přenosy Pix. Když detekuje žádost o platbu, zasáhne nahrazením dat a efektivně přesměruje transakci na kyberzločince. Je pozoruhodné, že informace používané útočníkem nejsou pevně zapojené do malwaru, ale jsou flexibilní a získávají se ze serveru Command and Control (C&C).

GoPIX navíc funguje jako clipper, který cílí na adresy kryptoměnových peněženek, což je běžnější varianta. V tomto případě jsou však adresy Bitcoin a Ethereum peněženky předem dané, na rozdíl od dat Pix, se kterými se dynamicky manipuluje.

Malware GoPIX by se mohl šířit prostřednictvím podvodných reklam

Bylo pozorováno, že se GoPIX šíří prostřednictvím malvertisingových kampaní, konkrétně zahrnujících určitou formu otravy optimalizací pro vyhledávače (SEO). Tato taktika zahrnuje manipulaci s nejlepšími výsledky vyhledávání, obvykle reklamami, které se zobrazí, když je do vyhledávače zadán konkrétní dotaz. Tyto změněné výsledky přesměrovávají uživatele na škodlivé weby.

V těchto případech byl zvolený vyhledávací dotaz „WhatsApp web“ a reklamy prezentované jako nejlepší výsledky vedly nebo iniciovaly řetězce přesměrování na škodlivé webové stránky. Je pozoruhodné, že webové stránky známé šířením GoPIX používaly legitimní nástroje k filtrování svých návštěvníků, což zajistilo, že k obsahu měli přístup pouze skuteční uživatelé a zároveň mařili roboty. Tyto klamavé stránky byly vytvořeny tak, aby připomínaly oficiální web WhatsApp.

Je důležité si uvědomit, že GoPIX lze distribuovat také alternativními metodami. Při šíření tohoto malwaru se běžně používají techniky phishingu a sociálního inženýrství. Typické způsoby distribuce zahrnují tajné stahování, zahrnutí škodlivých příloh nebo odkazů do spamových zpráv (např. e-mailů, soukromých zpráv, textových zpráv atd.), online podvody, malware, podezřelé zdroje stahování (jako je freeware a soubory zdarma -hostingové platformy, sítě pro sdílení peer-to-peer atd.), nelegální nástroje na prolomení softwaru a falešné výzvy k aktualizaci softwaru.