GoPIX haittaohjelma

GoPIX uhkaa ohjelmistoa, joka on erityisesti suunniteltu vaarantamaan Pix-pikamaksualustan. Pohjimmiltaan tämä haittaohjelma toimii leikkurina, joka ohjaa uudelleen Pix-alustan kautta suoritettuja tapahtumia. Lisäksi se toimii perinteisenä leikkurina ja laajentaa sen soveltamisalaa kattamaan kryptovaluuttatapahtumat.

GoPIX on ollut käytössä ainakin joulukuusta 2022 lähtien. Koska Pix on Brasilian keskuspankin (BCB) perustama ja valvoma maksualusta, sen käyttäjäkunta koostuu pääosin Brasilian kansalaisista. Tästä syystä GoPIXin toiminta rajoittuu ensisijaisesti Brasilian maisemaan.

GoPIX-haittaohjelmatartuntaketju

GoPIX-tartunnat ovat peräisin uhkaavilta verkkosivustoilta, joita mainostetaan harhaanjohtavilla mainoksilla. Tämä tekniikka tunnetaan nimellä haitallinen mainonta, jota usein käytetään hakukonemyrkytyksessä. Tällä hetkellä haittaohjelma on hankittu kahdesta lähteestä, ja valinta riippuu siitä, onko uhrin laitteessa portti 27275 auki.

Tämä portti liitetään yleensä lailliseen ja turvalliseen pankkituotteeseen. Tapauksissa, joissa tätä ohjelmistoa ei ole kohdejärjestelmässä, NSIS-asennuspaketti haetaan, joka sisältää PowerShell-komentosarjat ja lisäkomponentit. Tämä käynnistää tartuntaketjun, joka lopulta johtaa GoPIXin käyttöönottoon. Jos tietty ohjelmisto on kuitenkin olemassa, ladataan ZIP-arkisto, jossa LNK-tiedosto sisältää PowerShell-komentosarjan, joka edistää tartuntaketjua.

Kuten aiemmin mainittiin, GoPIX toimii clipper-tyyppisenä haittaohjelmana. Tämä haittaohjelmaluokka valvoo leikepöydälle kopioitua sisältöä (kopioi-liitä-puskuri) ja korvaa sen eri tiedoilla, mikä lopulta muuttaa liitettyä sisältöä.

GoPIX:n tapauksessa se etsii erityisesti Pix-siirtoja. Kun se havaitsee maksupyynnön, se puuttuu asiaan korvaamalla tiedot ja ohjaa tapahtuman tehokkaasti kyberrikollisille. Hyökkääjän käyttämiä tietoja ei ole liitetty haittaohjelmistoon, vaan ne ovat joustavia ja haetaan komento- ja ohjauspalvelimelta (C&C).

Lisäksi GoPIX toimii leikkurina, joka kohdistaa kryptovaluuttalompakko-osoitteisiin, joka on yleisempi versio. Tässä tapauksessa Bitcoin- ja Ethereum-lompakkoosoitteet ovat kuitenkin ennalta määrättyjä, toisin kuin Pix-data, jota manipuloidaan dynaamisesti.

GoPIX-haittaohjelma voi levitä vilpillisten mainosten kautta

GoPIXin on havaittu leviävän haitallisten kampanjoiden kautta, joihin liittyy erityisesti hakukoneoptimoinnin (SEO) myrkytys. Tämä taktiikka sisältää parhaiden hakutulosten, tyypillisesti mainosten, manipuloinnin, jotka näkyvät, kun hakukoneeseen syötetään tietty kysely. Nämä muuttuneet tulokset ohjaavat käyttäjät haitallisille verkkosivustoille.

Näissä tapauksissa valittu hakukysely oli "WhatsApp web", ja parhaina tuloksina esitetyt mainokset johtivat tai aloittivat uudelleenohjausketjuja haitallisille verkkosivuille. Erityisesti GoPIXin levittämisestä tunnetut verkkosivustot käyttivät laillisia työkaluja vierailijoidensa suodattamiseen, mikä varmisti, että vain aidot käyttäjät pääsivät sisältöön ja estävät robotteja. Nämä petolliset sivut on muotoiltu muistuttamaan virallista WhatsApp-verkkosivustoa.

On tärkeää tunnustaa, että GoPIX voidaan jakaa myös vaihtoehtoisilla menetelmillä. Tietojenkalastelu- ja sosiaalisen manipuloinnin tekniikoita käytetään yleisesti tämän haittaohjelman leviämisessä. Tyypillisiä jakelutapoja ovat salakavalat lataukset, haitallisten liitteiden tai linkkien lisääminen roskapostiviesteihin (esim. sähköpostit, yksityiset viestit, tekstiviestit jne.), verkkohuijaukset, haittaohjelmat, epäilyttävät latauslähteet (kuten ilmaisohjelmat ja ilmaiset tiedostot). -isännöintialustat, vertaisjakoverkot jne.), laittomat ohjelmiston murtotyökalut ja väärennetyt ohjelmistopäivityskehotteet.