Malware GoPIX

GoPIX sta minacciando un software appositamente progettato per compromettere la piattaforma di pagamento istantaneo Pix. In sostanza, questo malware funziona come un clipper, reindirizzando le transazioni condotte attraverso la piattaforma Pix. Inoltre, funziona come un clipper convenzionale, estendendo la sua portata per includere le transazioni di criptovaluta.

GoPIX è in circolazione almeno da dicembre 2022. Dato che Pix è una piattaforma di pagamento istituita e supervisionata dalla Banca Centrale del Brasile (BCB), la sua base utenti comprende prevalentemente cittadini brasiliani. Di conseguenza, le attività di GoPIX sono principalmente limitate al panorama brasiliano.

La catena di infezione da malware GoPIX

Le infezioni GoPIX provengono da siti Web minacciosi promossi tramite pubblicità ingannevoli, una tecnica nota come malvertising, spesso impiegata nell'avvelenamento dei motori di ricerca. Attualmente il malware viene acquisito da una delle due fonti, la selezione dipende da se sul dispositivo della vittima è aperta la porta 27275.

Questa particolare porta è generalmente associata a un prodotto bancario legittimo e sicuro. Nei casi in cui questo software è assente sul sistema di destinazione, viene recuperato un pacchetto di installazione NSIS contenente script PowerShell e componenti aggiuntivi. Ciò avvia la catena di infezione, che alla fine porta all'implementazione di GoPIX. Tuttavia, se è presente il software specifico, viene scaricato un archivio ZIP all'interno del quale un file LNK contiene uno script PowerShell che accelera ulteriormente la catena dell'infezione.

Come accennato in precedenza, GoPIX funziona come un malware di tipo clipper. Questa categoria di malware monitora il contenuto copiato negli appunti (il buffer copia-incolla) e lo sostituisce con informazioni diverse, alterando in definitiva ciò che viene incollato.

Nel caso di GoPIX, esegue la scansione specifica dei trasferimenti Pix. Quando rileva una richiesta di pagamento, interviene sostituendo i dati, reindirizzando di fatto la transazione ai criminali informatici. In particolare, le informazioni utilizzate dall'aggressore non sono cablate nel malware ma sono flessibili e recuperate da un server Command and Control (C&C).

Inoltre, GoPIX funziona come un clipper che prende di mira gli indirizzi dei portafogli di criptovaluta, una variante più comune. Tuttavia, in questo caso, gli indirizzi dei portafogli Bitcoin ed Ethereum sono predeterminati, a differenza dei dati Pix, che vengono manipolati dinamicamente.

Il malware GoPIX potrebbe essere diffuso attraverso pubblicità fraudolente

È stato osservato che GoPIX si propaga attraverso campagne di malvertising, coinvolgendo in particolare una forma di avvelenamento da ottimizzazione dei motori di ricerca (SEO). Questa tattica comporta la manipolazione dei principali risultati di ricerca, in genere annunci, che appaiono quando una query specifica viene inserita in un motore di ricerca. Questi risultati alterati reindirizzano gli utenti a siti Web dannosi.

In questi casi, la query di ricerca scelta era "WhatsApp web" e gli annunci pubblicitari presentati come risultati principali portavano o avviavano catene di reindirizzamento a pagine Web dannose. In particolare, i siti Web noti per la diffusione di GoPIX utilizzavano strumenti legittimi per filtrare i propri visitatori, garantendo che solo gli utenti autentici potessero accedere ai contenuti e contrastando i bot. Queste pagine ingannevoli sono state realizzate per assomigliare al sito web ufficiale di WhatsApp.

È fondamentale riconoscere che GoPIX può essere distribuito anche attraverso metodi alternativi. Le tecniche di phishing e di ingegneria sociale sono comunemente utilizzate nella proliferazione di questo malware. Le vie di distribuzione tipiche comprendono download drive-by furtivi, l'inclusione di allegati o collegamenti dannosi nei messaggi di spam (ad esempio, e-mail, messaggi privati, messaggi di testo, ecc.), truffe online, malvertising, fonti di download sospette (come freeware e file gratuiti -piattaforme di hosting, reti di condivisione peer-to-peer, ecc.), strumenti di cracking di software illegali e richieste di aggiornamento di software false.