GoPIX 악성코드

GoPIX는 Pix 즉시 결제 플랫폼을 손상시키도록 특별히 설계된 소프트웨어를 위협하고 있습니다. 본질적으로 이 악성코드는 Pix 플랫폼을 통해 수행되는 거래를 리디렉션하는 클리퍼 역할을 합니다. 또한 기존 클리퍼로 작동하여 암호화폐 거래를 포함하도록 범위를 확장합니다.

GoPIX는 최소 2022년 12월부터 유통되었습니다. Pix는 브라질 중앙은행(BCB)이 설립하고 감독하는 결제 플랫폼이라는 점을 감안할 때 사용자 기반은 주로 브라질 시민으로 구성됩니다. 결과적으로 GoPIX의 활동은 주로 브라질 지역에만 국한되어 있습니다.

GoPIX 악성 코드 감염 체인

GoPIX 감염은 검색 엔진 중독에 종종 사용되는 악성 광고라는 기술인 사기성 광고를 통해 홍보되는 위협적인 웹 사이트에서 발생합니다. 현재 악성코드는 피해자의 장치에 포트 27275가 열려 있는지 여부에 따라 선택되는 두 가지 소스 중 하나에서 획득됩니다.

이 특정 포트는 일반적으로 합법적이고 안전한 은행 상품과 연결되어 있습니다. 대상 시스템에 이 소프트웨어가 없는 경우 PowerShell 스크립트와 추가 구성 요소가 포함된 NSIS 설치 프로그램 패키지가 검색됩니다. 이로 인해 감염 체인이 시작되고 궁극적으로 GoPIX 배포로 이어집니다. 그러나 특정 소프트웨어가 있는 경우 ZIP 아카이브가 다운로드되며, 그 안에 LNK 파일에 감염 체인을 더욱 촉진하는 PowerShell 스크립트가 포함되어 있습니다.

앞서 언급한 바와 같이 GoPIX는 클리퍼형 악성코드로 기능한다. 이 악성코드 범주는 클립보드에 복사된 내용(복사-붙여넣기 버퍼)을 모니터링하고 이를 다른 정보로 대체하여 궁극적으로 붙여넣은 내용을 변경합니다.

GoPIX의 경우 특히 Pix 전송을 검색합니다. 결제 요청이 감지되면 데이터를 대체하여 개입하여 효과적으로 거래를 사이버 범죄자에게 리디렉션합니다. 특히, 공격자가 사용하는 정보는 악성 코드에 내장되어 있지 않고 C&C(명령 및 제어) 서버에서 유연하게 검색됩니다.

또한 GoPIX는 보다 일반적인 변형인 암호화폐 지갑 주소를 대상으로 하는 클리퍼로 작동합니다. 하지만 이 경우 동적으로 조작되는 Pix 데이터와 달리 비트코인과 이더리움 지갑 주소가 미리 결정되어 있습니다.

GoPIX 악성코드는 사기성 광고를 통해 확산될 수 있습니다.

GoPIX는 특히 SEO(검색 엔진 최적화) 중독과 관련된 악성 광고 캠페인을 통해 전파되는 것으로 관찰되었습니다. 이 전술은 특정 검색어가 검색 엔진에 입력될 때 나타나는 상위 검색 결과(일반적으로 광고)를 조작하는 것을 수반합니다. 이러한 변경된 결과는 사용자를 악성 웹사이트로 리디렉션합니다.

이 경우 선택된 검색어는 'WhatsApp 웹'이었고, 상위 결과로 표시된 광고는 악성 웹 페이지로 리디렉션 체인을 유도하거나 시작했습니다. 특히 GoPIX를 유포하는 것으로 알려진 웹사이트에서는 합법적인 도구를 사용하여 방문자를 필터링하여 봇을 차단하면서 실제 사용자만 콘텐츠에 액세스할 수 있도록 했습니다. 이러한 사기성 페이지는 공식 WhatsApp 웹사이트와 유사하게 제작되었습니다.

GoPIX는 대체 방법을 통해서도 배포될 수 있다는 점을 인정하는 것이 중요합니다. 피싱 및 사회 공학 기술은 일반적으로 이 악성 코드의 확산에 활용됩니다. 일반적인 배포 경로에는 은밀한 드라이브 바이 다운로드, 스팸 메시지(예: 이메일, 개인 메시지, 문자 메시지 등)에 악성 첨부 파일이나 링크 포함, 온라인 사기, 악성 광고, 의심스러운 다운로드 소스(예: 프리웨어 및 무료 파일)가 포함됩니다. -호스팅 플랫폼, P2P 공유 네트워크 등), 불법 소프트웨어 크래킹 도구 및 가짜 소프트웨어 업데이트 프롬프트.