بدافزار GoPIX

GoPIX نرم افزاری را تهدید می کند که به طور خاص برای به خطر انداختن پلت فرم پرداخت فوری Pix طراحی شده است. در اصل، این بدافزار به عنوان یک برش دهنده عمل می کند و تراکنش های انجام شده از طریق پلتفرم Pix را هدایت می کند. علاوه بر این، به عنوان یک گیره معمولی عمل می کند و دامنه خود را به تراکنش های ارز دیجیتال گسترش می دهد.

GoPIX حداقل از دسامبر 2022 در گردش بوده است. با توجه به اینکه Pix یک پلت فرم پرداخت است که توسط بانک مرکزی برزیل (BCB) ایجاد و بر آن نظارت می شود، پایگاه کاربر آن عمدتاً شهروندان برزیلی است. در نتیجه، فعالیت های GoPIX در درجه اول به چشم انداز برزیل محدود می شود.

زنجیره عفونت بدافزار GoPIX

آلودگی های GoPIX از وب سایت های تهدید آمیزی سرچشمه می گیرند که از طریق تبلیغات فریبنده تبلیغ می شوند، تکنیکی که به عنوان تبلیغات نادرست شناخته می شود و اغلب در مسمومیت موتورهای جستجو به کار می رود. در حال حاضر، بدافزار از یکی از دو منبع به دست می‌آید، با انتخاب بسته به اینکه آیا دستگاه قربانی درگاه 27275 باز است یا خیر.

این بندر خاص معمولاً با یک محصول بانکی قانونی و مطمئن همراه است. در مواردی که این نرم افزار در سیستم مورد نظر وجود ندارد، یک بسته نصب کننده NSIS بازیابی می شود که حاوی اسکریپت های PowerShell و اجزای اضافی است. این امر زنجیره عفونت را آغاز می کند و در نهایت منجر به استقرار GoPIX می شود. با این حال، اگر نرم‌افزار خاصی وجود داشته باشد، یک بایگانی ZIP دانلود می‌شود که در آن یک فایل LNK یک اسکریپت PowerShell را در خود نگه می‌دارد که زنجیره عفونت را بیشتر پیش می‌برد.

همانطور که قبلا ذکر شد، GoPIX به عنوان یک بدافزار از نوع Clipper عمل می کند. این دسته از بدافزارها بر محتویات کپی شده در کلیپ بورد (بافر کپی-پیست) نظارت می کنند و آن را با اطلاعات مختلف جایگزین می کنند و در نهایت آنچه را که چسبانده شده است تغییر می دهند.

در مورد GoPIX، به طور خاص برای انتقال Pix اسکن می کند. هنگامی که درخواست پرداخت را تشخیص می دهد، با جایگزینی داده ها مداخله می کند و عملاً تراکنش را به مجرمان سایبری هدایت می کند. قابل ذکر است، اطلاعات استفاده شده توسط مهاجم به بدافزار متصل نشده است، اما انعطاف پذیر است و از یک سرور Command and Control (C&C) بازیابی می شود.

علاوه بر این، GoPIX به‌عنوان گیره‌ای عمل می‌کند که آدرس‌های کیف پول ارزهای دیجیتال را هدف قرار می‌دهد، یک نوع رایج‌تر. با این حال، در این مورد، برخلاف داده‌های Pix که به صورت پویا دستکاری می‌شوند، آدرس‌های کیف پول بیت‌کوین و اتریوم از پیش تعیین شده‌اند.

بدافزار GoPIX ممکن است از طریق تبلیغات جعلی منتشر شود

مشاهده شده است که GoPIX از طریق کمپین های تبلیغات نادرست، به طور خاص شامل نوعی مسمومیت بهینه سازی موتور جستجو (SEO) منتشر می شود. این تاکتیک مستلزم دستکاری نتایج جستجوی برتر، معمولاً تبلیغات، است که زمانی که یک جستجوی خاص وارد موتور جستجو می شود ظاهر می شود. این نتایج تغییر یافته کاربران را به وب سایت های مخرب هدایت می کند.

در این موارد، عبارت جستجوی انتخابی «وب واتس اپ» بود و تبلیغات ارائه شده به عنوان نتایج برتر منجر به زنجیره‌های هدایت مجدد به صفحات وب مخرب یا آغاز شد. قابل ذکر است، وب‌سایت‌هایی که برای انتشار GoPIX شناخته می‌شوند، از ابزارهای قانونی برای فیلتر کردن بازدیدکنندگان خود استفاده می‌کنند، و تضمین می‌کنند که تنها کاربران واقعی می‌توانند به محتوا دسترسی داشته باشند و در عین حال مانع از ربات‌ها می‌شوند. این صفحات فریبنده شبیه به وب سایت رسمی WhatsApp ساخته شده اند.

لازم است اذعان کنیم که GoPIX می تواند از طریق روش های جایگزین نیز توزیع شود. تکنیک‌های فیشینگ و مهندسی اجتماعی معمولاً در گسترش این بدافزار استفاده می‌شوند. راه‌های توزیع معمولی شامل دانلودهای مخفیانه، گنجاندن پیوست‌ها یا پیوندهای مخرب در پیام‌های هرزنامه (مانند ایمیل، پیام‌های خصوصی، پیام‌های متنی و غیره)، کلاهبرداری‌های آنلاین، تبلیغات نادرست، منابع دانلود مشکوک (مانند نرم‌افزار رایگان و فایل رایگان) است. - پلتفرم‌های میزبانی، شبکه‌های اشتراک‌گذاری همتا به همتا، و غیره)، ابزارهای غیرقانونی کرک نرم‌افزار، و درخواست‌های به‌روزرسانی نرم‌افزار جعلی.