GoPIX kenkėjiška programa
„GoPIX“ kelia grėsmę programinei įrangai, specialiai sukurtai, kad pakenktų „Pix“ momentinių mokėjimų platformai. Iš esmės ši kenkėjiška programa veikia kaip kirpimo priemonė, nukreipianti per Pix platformą vykdomas operacijas. Be to, jis veikia kaip įprastas kirptuvas, išplečiant savo taikymo sritį įtraukiant kriptovaliutų operacijas.
„GoPIX“ buvo apyvartoje bent nuo 2022 m. gruodžio mėn. Atsižvelgiant į tai, kad „Pix“ yra Brazilijos centrinio banko (BCB) sukurta ir prižiūrima mokėjimo platforma, jos vartotojų bazę daugiausia sudaro Brazilijos piliečiai. Todėl „GoPIX“ veikla visų pirma apsiriboja Brazilijos kraštovaizdžiu.
GoPIX kenkėjiškų programų infekcijos grandinė
„GoPIX“ infekcijos kyla iš grėsmingų svetainių, kurios reklamuojamos naudojant apgaulingus skelbimus. Tai metodas, žinomas kaip netinkamas reklamavimas, dažnai naudojamas apsinuodijus paieškos sistemomis. Šiuo metu kenkėjiška programa yra įsigyta iš vieno iš dviejų šaltinių, o pasirinkimas priklauso nuo to, ar aukos įrenginyje yra atidarytas 27275 prievadas.
Šis konkretus prievadas paprastai siejamas su teisėtu ir saugiu banko produktu. Tais atvejais, kai šios programinės įrangos nėra tikslinėje sistemoje, nuskaitomas NSIS diegimo programos paketas, kuriame yra PowerShell scenarijų ir papildomų komponentų. Tai inicijuoja užkrėtimo grandinę, kuri galiausiai lemia GoPIX diegimą. Tačiau, jei yra konkrečios programinės įrangos, atsisiunčiamas ZIP archyvas, kuriame LNK faile yra PowerShell scenarijus, kuris toliau skatina infekcijos grandinę.
Kaip minėta anksčiau, „GoPIX“ veikia kaip „Clipper“ tipo kenkėjiška programa. Ši kenkėjiškų programų kategorija stebi turinį, nukopijuotą į mainų sritį (kopijavimo ir įklijavimo buferį) ir pakeičia jį kita informacija, galiausiai pakeisdama tai, kas įklijuota.
„GoPIX“ atveju jis specialiai nuskaito „Pix“ perkėlimus. Kai aptinka mokėjimo užklausą, ji įsikiša pakeisdama duomenis ir veiksmingai nukreipia operaciją kibernetiniams nusikaltėliams. Pažymėtina, kad užpuoliko naudojama informacija nėra prijungta prie kenkėjiškos programos, bet yra lanksti ir gaunama iš komandų ir valdymo (C&C) serverio.
Be to, „GoPIX“ veikia kaip kirpimo mašinėlė, skirta kriptovaliutų piniginės adresams – labiau paplitęs variantas. Tačiau šiuo atveju „Bitcoin“ ir „Ethereum“ piniginės adresai yra iš anksto nustatyti, priešingai nei „Pix“ duomenys, kuriais dinamiškai manipuliuojama.
„GoPIX“ kenkėjiška programa gali būti išplatinta per apgaulingus skelbimus
Pastebėta, kad „GoPIX“ plinta per netinkamos reklamos kampanijas, ypač susijusias su tam tikra paieškos variklio optimizavimo (SEO) apsinuodijimu. Ši taktika apima manipuliavimą geriausiais paieškos rezultatais, paprastai skelbimais, kurie rodomi, kai į paieškos variklį įvedama konkreti užklausa. Šie pakeisti rezultatai nukreipia vartotojus į kenkėjiškas svetaines.
Tokiais atvejais pasirinkta paieškos užklausa buvo „WhatsApp web“, o skelbimai, pateikti kaip geriausi rezultatai, paskatino arba inicijavo nukreipimo į kenkėjiškus tinklalapius grandines. Pažymėtina, kad „GoPIX“ platinančiose svetainėse buvo naudojami teisėti lankytojų filtravimo įrankiai, užtikrinant, kad tik tikri vartotojai galėtų pasiekti turinį ir trukdytų robotams. Šie apgaulingi puslapiai buvo sukurti taip, kad būtų panašūs į oficialią „WhatsApp“ svetainę.
Svarbu pripažinti, kad GoPIX taip pat gali būti platinamas alternatyviais metodais. Šios kenkėjiškos programos platinimui dažniausiai naudojami sukčiavimo ir socialinės inžinerijos metodai. Įprasti platinimo būdai apima slaptus atsisiuntimus, kenkėjiškų priedų ar nuorodų įtraukimą į šlamšto pranešimus (pvz., el. laiškus, asmenines žinutes, tekstinius pranešimus ir kt.), internetinius sukčiavimus, kenkėjišką reklamą, įtartinus atsisiuntimo šaltinius (pvz., nemokama programa ir nemokamas failas). - prieglobos platformos, tarpusavio bendrinimo tinklai ir kt.), nelegalios programinės įrangos nulaužimo įrankiai ir netikri programinės įrangos atnaujinimo raginimai.
