GoPIX Malware

GoPIX prijeti softverom posebno dizajniranim za kompromitiranje platforme za instant plaćanje Pix. U biti, ovaj zlonamjerni softver funkcionira kao kliper, preusmjeravajući transakcije provedene putem Pix platforme. Osim toga, radi kao konvencionalni kliper, proširujući svoj opseg na transakcije kriptovalute.

GoPIX je u optjecaju najmanje od prosinca 2022. S obzirom na to da je Pix platforma za plaćanje koju je uspostavila i nadzire Središnja banka Brazila (BCB), njegova baza korisnika uglavnom se sastoji od brazilskih građana. Shodno tome, aktivnosti GoPIX-a prvenstveno su ograničene na brazilski krajolik.

GoPIX lanac zaraze zlonamjernim softverom

Infekcije GoPIX-om potječu s prijetećih web stranica koje se promoviraju lažnim oglasima, tehnikom poznatom kao malvertising, koja se često koristi u trovanju tražilica. Trenutno se zlonamjerni softver preuzima iz jednog od dva izvora, a izbor ovisi o tome ima li žrtvin uređaj otvoren priključak 27275.

Ovaj određeni priključak obično je povezan s legitimnim i sigurnim bankarskim proizvodom. U slučajevima kada ovaj softver nije prisutan na ciljanom sustavu, dohvaća se instalacijski paket NSIS-a koji sadrži PowerShell skripte i dodatne komponente. Ovo pokreće lanac zaraze, što u konačnici dovodi do postavljanja GoPIX-a. Međutim, ako je određeni softver prisutan, preuzima se ZIP arhiva unutar koje LNK datoteka sadrži PowerShell skriptu koja dalje pokreće lanac infekcije.

Kao što je ranije spomenuto, GoPIX funkcionira kao zlonamjerni softver tipa klipera. Ova kategorija zlonamjernog softvera nadzire sadržaj kopiran u međuspremnik (međuspremnik za kopiranje i lijepljenje) i zamjenjuje ga različitim informacijama, mijenjajući na kraju ono što je zalijepljeno.

U slučaju GoPIX-a, posebno skenira Pix prijenose. Kada otkrije zahtjev za plaćanje, intervenira zamjenom podataka, učinkovito preusmjeravajući transakciju kibernetičkim kriminalcima. Značajno je da informacije koje koristi napadač nisu ugrađene u zlonamjerni softver, već su fleksibilne i dohvaćaju se s poslužitelja za upravljanje i kontrolu (C&C).

Uz to, GoPIX radi kao kliper koji cilja adrese novčanika kriptovaluta, što je češća varijanta. Međutim, u ovom slučaju, adrese Bitcoin i Ethereum novčanika unaprijed su određene, za razliku od Pix podataka, kojima se dinamički manipulira.

Zlonamjerni softver GoPIX mogao bi se širiti putem lažnih oglasa

Uočeno je da se GoPIX širi kroz kampanje zlonamjernog oglašavanja, posebno uključujući oblik trovanja optimizacijom tražilice (SEO). Ova taktika podrazumijeva manipuliranje najboljim rezultatima pretraživanja, obično oglasima, koji se pojavljuju kada se određeni upit unese u tražilicu. Ovi izmijenjeni rezultati preusmjeravaju korisnike na zlonamjerne web stranice.

U tim je slučajevima odabrani upit za pretraživanje bio 'WhatsApp web', a reklame prikazane kao najbolji rezultati dovele su do ili pokrenule lance preusmjeravanja na zlonamjerne web stranice. Naime, web stranice poznate po širenju GoPIX-a koristile su legitimne alate za filtriranje svojih posjetitelja, osiguravajući da samo pravi korisnici mogu pristupiti sadržaju dok su sprječavali botove. Ove varljive stranice napravljene su tako da nalikuju službenoj web stranici WhatsAppa.

Bitno je priznati da se GoPIX također može distribuirati alternativnim metodama. Tehnike krađe identiteta i društvenog inženjeringa često se koriste u širenju ovog zlonamjernog softvera. Tipični načini distribucije obuhvaćaju prikrivena preuzimanja, uključivanje zlonamjernih privitaka ili poveznica u neželjene poruke (npr. e-poštu, privatne poruke, tekstualne poruke itd.), online prijevare, zlonamjerno oglašavanje, sumnjive izvore preuzimanja (kao što su besplatni softver i besplatne datoteke) - platforme za hosting, peer-to-peer mreže za dijeljenje, itd.), ilegalni alati za krekiranje softvera i lažne upute za ažuriranje softvera.