GoPIX rosszindulatú program
A GoPIX egy olyan szoftvert fenyeget, amelyet kifejezetten a Pix azonnali fizetési platform kompromittálására terveztek. Lényegében ez a rosszindulatú program klipperként működik, átirányítja a Pix platformon keresztül végrehajtott tranzakciókat. Ezenkívül hagyományos vágógépként működik, kiterjesztve hatókörét a kriptovaluta-tranzakciókra is.
A GoPIX legalább 2022 decembere óta forgalomban van. Mivel a Pix a Brazil Központi Bank (BCB) által létrehozott és felügyelt fizetési platform, felhasználói bázisa túlnyomórészt brazil állampolgárokból áll. Következésképpen a GoPIX tevékenysége elsősorban a brazil tájra korlátozódik.
A GoPIX malware fertőzési lánc
A GoPIX fertőzések olyan fenyegető webhelyekről származnak, amelyeket megtévesztő hirdetésekkel népszerűsítenek. Ezt a technikát malvertising néven ismerik, és gyakran alkalmazzák a keresőmotorok mérgezésére. Jelenleg a kártevő két forrás egyikéből származik, a kiválasztás attól függ, hogy az áldozat eszközén nyitva van-e a 27275-ös port.
Ez az adott port jellemzően legitim és biztonságos banki termékhez kapcsolódik. Azokban az esetekben, amikor ez a szoftver hiányzik a megcélzott rendszeren, egy NSIS telepítőcsomag kerül lekérésre, amely PowerShell-parancsfájlokat és további összetevőket tartalmaz. Ez elindítja a fertőzési láncot, amely végül a GoPIX telepítéséhez vezet. Ha azonban az adott szoftver jelen van, a rendszer letölt egy ZIP-archívumot, amelyben egy LNK-fájl tartalmaz egy PowerShell-szkriptet, amely tovább mozgatja a fertőzési láncot.
Mint korábban említettük, a GoPIX klipper típusú rosszindulatú programként működik. A rosszindulatú programok ezen kategóriája figyeli a vágólapra (a másolás-beillesztés puffer) másolt tartalmat, és más információkkal helyettesíti, végül megváltoztatva a beillesztett tartalmat.
GoPIX esetén kifejezetten Pix átvitelt keres. Amikor fizetési kérelmet észlel, az adatok helyettesítésével közbelép, így a tranzakciót hatékonyan átirányítja a kiberbűnözőkhöz. Figyelemre méltó, hogy a támadó által használt információk nincsenek bekötve a rosszindulatú programba, hanem rugalmasak, és egy Command and Control (C&C) szerverről származnak.
Ezenkívül a GoPIX olyan vágóként működik, amely a kriptovaluta pénztárca címeit célozza meg, ami egy gyakoribb változat. Ebben az esetben azonban a Bitcoin és az Ethereum pénztárca címe előre meghatározott, ellentétben a Pix adatokkal, amelyeket dinamikusan manipulálnak.
A GoPIX rosszindulatú program csaló hirdetéseken keresztül terjedhet
Megfigyelték, hogy a GoPIX rosszindulatú reklámkampányokon keresztül terjed, különös tekintettel a keresőoptimalizálás (SEO) mérgezésére. Ez a taktika magában foglalja a legjobb keresési eredmények, jellemzően hirdetések manipulálását, amelyek akkor jelennek meg, amikor egy adott lekérdezést beírnak a keresőmotorba. Ezek a megváltozott eredmények rosszindulatú webhelyekre irányítják át a felhasználókat.
Ezekben az esetekben a kiválasztott keresési lekérdezés a „WhatsApp web” volt, és a legjobb találatként megjelenített hirdetések rosszindulatú weboldalakhoz vezettek, vagy átirányítási láncokat indítottak el. Nevezetesen, a GoPIX terjesztéséről ismert webhelyek legitim eszközöket használtak látogatóik szűrésére, biztosítva, hogy csak a valódi felhasználók férhessenek hozzá a tartalomhoz, miközben megakadályozták a botokat. Ezeket a megtévesztő oldalakat úgy alakították ki, hogy hasonlítsanak a hivatalos WhatsApp webhelyre.
Fontos tudomásul venni, hogy a GoPIX alternatív módszerekkel is terjeszthető. Az adathalászat és a social engineering technikákat gyakran alkalmazzák ennek a rosszindulatú programnak a terjedésében. A tipikus terjesztési módok közé tartoznak a lopakodó letöltések, a rosszindulatú mellékletek vagy linkek spam üzenetekbe (pl. e-mailek, privát üzenetek, szöveges üzenetek stb.) való belefoglalása, online csalások, rosszindulatú hirdetések, gyanús letöltési források (például ingyenes programok és ingyenes fájlok) -tárhelyplatformok, peer-to-peer megosztási hálózatok stb.), illegális szoftvertörő eszközök és hamis szoftverfrissítési felszólítások.
