תוכנות זדוניות של GoPIX

GoPIX מאיימת על תוכנה שתוכננה במיוחד כדי לסכן את פלטפורמת התשלום המיידי של Pix. בעיקרו של דבר, תוכנה זדונית זו מתפקדת כקליפר, ומנתבת מחדש עסקאות שבוצעו דרך פלטפורמת Pix. בנוסף, הוא פועל כקליפר קונבנציונלי, ומרחיב את היקפו כך שיכלול עסקאות במטבעות קריפטוגרפיים.

GoPIX נמצא במחזור לפחות מאז דצמבר 2022. בהתחשב בכך ש-Pix היא פלטפורמת תשלום שהוקמה ומפוקחת על ידי הבנק המרכזי של ברזיל (BCB), בסיס המשתמשים שלה מורכב בעיקר מאזרחי ברזיל. כתוצאה מכך, הפעילות של GoPIX מוגבלת בעיקר לנוף הברזילאי.

שרשרת ההדבקה של GoPIX תוכנות זדוניות

זיהומי GoPIX מקורם באתרי אינטרנט מאיימים המקודמים באמצעות מודעות מטעה, טכניקה המכונה malvertising, המופעלת לעתים קרובות בהרעלת מנועי חיפוש. נכון לעכשיו, התוכנה הזדונית נרכשת מאחד משני מקורות, כאשר הבחירה תלויה אם במכשיר של הקורבן יש יציאה 27275 פתוחה.

נמל מסוים זה משויך בדרך כלל למוצר בנקאי לגיטימי ומאובטח. במקרים שבהם תוכנה זו נעדרת במערכת היעד, מאחזרת חבילת התקנה של NSIS, המכילה סקריפטים של PowerShell ורכיבים נוספים. זה יוזם את שרשרת ההדבקה, מה שמוביל בסופו של דבר לפריסת GoPIX. עם זאת, אם התוכנה הספציפית קיימת, מורידים ארכיון ZIP, שבתוכו קובץ LNK מכיל סקריפט PowerShell שמניע עוד יותר את שרשרת ההדבקה.

כפי שהוזכר קודם לכן, GoPIX מתפקד כתוכנה זדונית מסוג קוצץ. קטגוריה זו של תוכנות זדוניות עוקבת אחר התוכן המועתק ללוח (מאגר העתק-הדבק) ומחליפה אותו במידע שונה, ובסופו של דבר משנה את מה שמודבק.

במקרה של GoPIX, הוא סורק במיוחד עבור העברות Pix. כאשר הוא מזהה בקשת תשלום, הוא מתערב על ידי החלפת הנתונים, ולמעשה מפנה את העסקה לפושעי הסייבר. יש לציין שהמידע בו משתמש התוקף אינו מחובר לתוכנה הזדונית, אלא הוא גמיש ומאוחזר משרת Command and Control (C&C).

בנוסף, GoPIX פועל כקליפר המכוון לכתובות של ארנק קריפטוגרפי, גרסה נפוצה יותר. עם זאת, במקרה זה, כתובות ארנק הביטקוין והאת'ריום נקבעות מראש, בניגוד לנתוני Pix, אשר עוברים מניפולציה דינמית.

התוכנה הזדונית של GoPIX יכולה להיות מופצת באמצעות פרסומות הונאה

נצפתה כי GoPIX מתפשטת באמצעות קמפיינים של פרסום רע, הכוללת צורה של הרעלת אופטימיזציה למנועי חיפוש (SEO). טקטיקה זו כוללת מניפולציה של תוצאות החיפוש המובילות, בדרך כלל מודעות, המופיעות כאשר שאילתה ספציפית מוזנת למנוע חיפוש. תוצאות משתנות אלו מפנים משתמשים לאתרים זדוניים.

במקרים אלה, שאילתת החיפוש שנבחרה הייתה 'ווטסאפ אינטרנט', והפרסומות שהוצגו כתוצאות המובילות הובילו או יזמו שרשרות של הפניה לדפי אינטרנט זדוניים. יש לציין שהאתרים הידועים בהפצת GoPIX השתמשו בכלים לגיטימיים כדי לסנן את המבקרים שלהם, מה שמבטיח שרק משתמשים אמיתיים יוכלו לגשת לתוכן תוך סיכול בוטים. הדפים המטעים הללו נוצרו כדי להידמות לאתר הרשמי של WhatsApp.

חיוני להכיר בכך שניתן להפיץ את GoPIX גם באמצעות שיטות חלופיות. בדרך כלל משתמשים בטכניקות דיוג והנדסה חברתית בהפצת תוכנה זדונית זו. אפיקי הפצה אופייניים כוללים הורדות דחיפות חמקניות, הכללת קבצים מצורפים או קישורים זדוניים בהודעות דואר זבל (למשל, הודעות דוא"ל, הודעות פרטיות, הודעות טקסט וכו'), הונאות מקוונות, פרסום זדוני, מקורות הורדה חשודים (כגון תוכנות חינמיות וקבצים בחינם). -פלטפורמות אירוח, רשתות שיתוף עמית לעמית וכו'), כלי פיצוח תוכנה לא חוקיים והנחיות מזויפות לעדכון תוכנה.