GoPIX pahavara

GoPIX ähvardab tarkvara, mis on spetsiaalselt loodud Pixi kiirmakseplatvormi ohustamiseks. Sisuliselt toimib see pahavara klipperina, mis suunab Pixi platvormi kaudu tehtud tehingud ümber. Lisaks toimib see tavapärase lõikeseadmena, laiendades selle ulatust krüptovaluutatehingutele.

GoPIX on olnud ringluses vähemalt 2022. aasta detsembrist. Arvestades, et Pix on Brasiilia keskpanga (BCB) loodud ja järelevalve all olev makseplatvorm, koosneb selle kasutajaskond valdavalt Brasiilia kodanikest. Järelikult piirdub GoPIX-i tegevus peamiselt Brasiilia maastikuga.

GoPIX pahavara nakatumise kett

GoPIX-i nakkused pärinevad ähvardavatest veebisaitidest, mida reklaamitakse petlike reklaamide kaudu. Seda tehnikat nimetatakse pahatahtlikuks reklaamimiseks ja mida sageli kasutatakse otsingumootorite mürgitamisel. Praegu hangitakse pahavara ühest kahest allikast, kusjuures valik sõltub sellest, kas ohvri seadmel on avatud port 27275.

Seda konkreetset porti seostatakse tavaliselt legitiimse ja turvalise pangatootega. Juhtudel, kui see tarkvara sihitud süsteemis puudub, tuuakse alla NSIS-i installipakett, mis sisaldab PowerShelli skripte ja lisakomponente. See käivitab nakkusahela, mis viib lõpuks GoPIX-i juurutamiseni. Kui aga konkreetne tarkvara on olemas, laaditakse alla ZIP-arhiiv, milles LNK-fail sisaldab PowerShelli skripti, mis levitab nakkusahelat veelgi.

Nagu varem mainitud, toimib GoPIX klipperi tüüpi pahavarana. See pahavara kategooria jälgib lõikepuhvrisse (kopeerimis-kleebi puhver) kopeeritud sisu ja asendab selle erineva teabega, muutes lõpuks kleebitavat.

GoPIX-i puhul otsib see spetsiaalselt Pix-edastusi. Kui ta tuvastab maksetaotluse, sekkub ta andmete asendamisega, suunates tehingu tõhusalt ümber küberkurjategijatele. Eelkõige ei ole ründaja kasutatav teave pahavaraga ühendatud, vaid on paindlik ja hangitud käsu- ja juhtimisserverist.

Lisaks toimib GoPIX klipperina, mis sihib krüptovaluuta rahakoti aadresse, mis on levinum variant. Kuid sel juhul on Bitcoini ja Ethereumi rahakoti aadressid ette määratud, erinevalt Pixi andmetest, mida dünaamiliselt manipuleeritakse.

GoPIX-i pahavara võib levida petturlike reklaamide kaudu

On täheldatud, et GoPIX levib pahatahtlike kampaaniate kaudu, mis hõlmavad eelkõige otsingumootori optimeerimise (SEO) mürgistust. See taktika hõlmab parimate otsingutulemuste, tavaliselt reklaamide manipuleerimist, mis kuvatakse siis, kui otsingumootorisse sisestatakse konkreetne päring. Need muudetud tulemused suunavad kasutajad ümber pahatahtlikele veebisaitidele.

Nendel juhtudel valiti otsingupäring „WhatsApp Web” ja parimate tulemustena esitatud reklaamid viisid või algatasid ümbersuunamisahelaid pahatahtlikele veebilehtedele. Eelkõige kasutasid GoPIX-i levitamise poolest tuntud veebisaidid oma külastajate filtreerimiseks seaduslikke tööriistu, tagades, et ainult tõelised kasutajad pääsevad sisule juurde, takistades samal ajal roboteid. Need petlikud lehed loodi nii, et need meenutaksid ametlikku WhatsAppi veebisaiti.

Oluline on mõista, et GoPIX-i saab levitada ka alternatiivsete meetodite kaudu. Selle pahavara levitamisel kasutatakse tavaliselt andmepüügi- ja sotsiaalse manipuleerimise tehnikaid. Tüüpilised levitamisviisid hõlmavad salajasi allalaadimisi, pahatahtlike manuste või linkide lisamist rämpspostisõnumitesse (nt meilid, privaatsõnumid, tekstsõnumid jne), võrgupettusi, pahatahtlikku reklaami, kahtlasi allalaadimisallikaid (nt vabavara ja tasuta failid). -hostimisplatvormid, peer-to-peer jagamisvõrgud jne), ebaseaduslikud tarkvara murdmise tööriistad ja võltstarkvara värskendusviibad.