GoPIX Malware

GoPIX truer software, der er specielt udviklet til at kompromittere Pix-platformen til øjeblikkelig betaling. I det væsentlige fungerer denne malware som en klipper, der omdirigerer transaktioner udført gennem Pix-platformen. Derudover fungerer den som en konventionel klipper, der udvider dens omfang til at omfatte kryptovalutatransaktioner.

GoPIX har været i omløb siden mindst december 2022. Da Pix er en betalingsplatform etableret og overvåget af Brasiliens centralbank (BCB), består dens brugerbase overvejende af brasilianske statsborgere. Derfor er GoPIX's aktiviteter primært begrænset til det brasilianske landskab.

GoPIX Malware Infection Chain

GoPIX-infektioner stammer fra truende websteder, der promoveres gennem vildledende annoncer, en teknik kendt som malvertising, der ofte bruges i søgemaskineforgiftning. I øjeblikket anskaffes malwaren fra en af to kilder, hvor valget afhænger af, om ofrets enhed har port 27275 åben.

Denne særlige port er typisk forbundet med et legitimt og sikkert bankprodukt. I tilfælde, hvor denne software er fraværende på det målrettede system, hentes en NSIS-installationspakke, der indeholder PowerShell-scripts og yderligere komponenter. Dette starter infektionskæden, hvilket i sidste ende fører til implementeringen af GoPIX. Men hvis den specifikke software er til stede, downloades et ZIP-arkiv, hvori en LNK-fil indeholder et PowerShell-script, der driver infektionskæden yderligere.

Som tidligere nævnt fungerer GoPIX som en clipper-type malware. Denne kategori af malware overvåger indholdet, der er kopieret til udklipsholderen (copy-paste bufferen) og erstatter det med anden information, hvilket i sidste ende ændrer, hvad der indsættes.

I tilfælde af GoPIX scanner den specifikt for Pix-overførsler. Når den opdager en betalingsanmodning, griber den ind ved at erstatte dataene, hvilket effektivt omdirigerer transaktionen til cyberkriminelle. Det er bemærkelsesværdigt, at de oplysninger, som angriberen bruger, ikke er forbundet med malwaren, men de er fleksible og hentes fra en Command and Control-server (C&C).

Derudover fungerer GoPIX som en klipper, der retter sig mod cryptocurrency wallet-adresser, en mere almindelig variant. I dette tilfælde er Bitcoin- og Ethereum-wallet-adresserne dog forudbestemt, i modsætning til Pix-dataene, som er dynamisk manipuleret.

GoPIX-malwaren kan spredes gennem svigagtige annoncer

GoPIX er blevet observeret at udbrede sig gennem malvertising-kampagner, der specifikt involverer en form for søgemaskineoptimering (SEO) forgiftning. Denne taktik indebærer at manipulere de øverste søgeresultater, typisk annoncer, der vises, når en specifik forespørgsel indtastes i en søgemaskine. Disse ændrede resultater omdirigerer brugere til ondsindede websteder.

I disse tilfælde var den valgte søgeforespørgsel 'WhatsApp-web', og de annoncer, der blev præsenteret som de bedste resultater, førte til eller igangsatte kæder af omdirigering til ondsindede websider. Navnlig brugte de websteder, der er kendt for at formidle GoPIX, legitime værktøjer til at filtrere deres besøgende, hvilket sikrede, at kun ægte brugere kunne få adgang til indholdet, mens de forhindrede bots. Disse vildledende sider blev lavet til at ligne det officielle WhatsApp-websted.

Det er vigtigt at erkende, at GoPIX også kan distribueres gennem alternative metoder. Phishing og social engineering-teknikker bruges almindeligvis i spredningen af denne malware. Typiske distributionsveje omfatter snigende drive-by-downloads, inkludering af ondsindede vedhæftede filer eller links i spam-beskeder (f.eks. e-mails, private beskeder, tekstbeskeder osv.), online-svindel, malvertising, mistænkelige downloadkilder (såsom freeware og gratis filer). -hostingplatforme, peer-to-peer-delingsnetværk osv.), ulovlige software-cracking-værktøjer og falske prompter om softwareopdatering.