GoPIX ļaunprātīga programmatūra

GoPIX apdraud programmatūru, kas īpaši izstrādāta, lai apdraudētu Pix tūlītējo maksājumu platformu. Būtībā šī ļaunprogrammatūra darbojas kā griezējs, kas novirza darījumus, kas tiek veikti caur Pix platformu. Turklāt tas darbojas kā parasts griezējs, paplašinot tā darbības jomu, iekļaujot kriptovalūtas darījumus.

GoPIX ir bijis apritē vismaz kopš 2022. gada decembra. Tā kā Pix ir maksājumu platforma, ko izveidojusi un pārrauga Brazīlijas Centrālā banka (BCB), tās lietotāju bāze pārsvarā ir Brazīlijas pilsoņi. Līdz ar to GoPIX darbības galvenokārt aprobežojas ar Brazīlijas ainavu.

GoPIX ļaunprātīgas programmatūras infekcijas ķēde

GoPIX infekcijas rodas no draudīgām vietnēm, kuras tiek reklamētas, izmantojot maldinošas reklāmas — šo paņēmienu sauc par ļaunprātīgu reklamēšanu, ko bieži izmanto meklētājprogrammu saindēšanai. Pašlaik ļaunprogrammatūra tiek iegūta no viena no diviem avotiem, atlasot atkarībā no tā, vai upura ierīcē ir atvērts ports 27275.

Šis konkrētais ports parasti ir saistīts ar likumīgu un drošu bankas produktu. Gadījumos, kad šīs programmatūras mērķa sistēmā nav, tiek izgūta NSIS instalēšanas pakotne, kurā ir PowerShell skripti un papildu komponenti. Tas sāk infekcijas ķēdi, kas galu galā noved pie GoPIX izvietošanas. Tomēr, ja ir pieejama konkrētā programmatūra, tiek lejupielādēts ZIP arhīvs, kurā LNK failā ir PowerShell skripts, kas tālāk virza infekcijas ķēdi.

Kā minēts iepriekš, GoPIX darbojas kā klipera veida ļaunprātīga programmatūra. Šī ļaunprātīgas programmatūras kategorija uzrauga starpliktuvē (kopēšanas un ielīmēšanas buferī) kopēto saturu un aizstāj to ar citu informāciju, galu galā mainot ielīmēto saturu.

GoPIX gadījumā tas īpaši skenē Pix pārsūtīšanu. Atklājot maksājuma pieprasījumu, tas iejaucas, aizstājot datus, efektīvi novirzot darījumu uz kibernoziedzniekiem. Proti, uzbrucēja izmantotā informācija nav iestrādāta ļaunprogrammatūrā, bet ir elastīga un tiek izgūta no Command and Control (C&C) servera.

Turklāt GoPIX darbojas kā griešanas ierīce, kas ir paredzēta kriptovalūtas maka adresēm, kas ir biežāk sastopams variants. Tomēr šajā gadījumā Bitcoin un Ethereum maka adreses ir iepriekš noteiktas, atšķirībā no Pix datiem, kas tiek dinamiski manipulēti.

GoPIX ļaunprātīga programmatūra var tikt izplatīta, izmantojot krāpnieciskas reklāmas

Ir novērots, ka GoPIX izplatās ļaunprātīgas reklāmas kampaņās, kas īpaši ietver meklētājprogrammu optimizācijas (SEO) saindēšanos. Šī taktika ietver manipulēšanu ar populārākajiem meklēšanas rezultātiem, parasti ar reklāmām, kas tiek rādītas, kad meklētājprogrammā tiek ievadīts konkrēts vaicājums. Šie mainītie rezultāti novirza lietotājus uz ļaunprātīgām vietnēm.

Šādos gadījumos izvēlētais meklēšanas vaicājums bija “WhatsApp tīmeklis”, un reklāmas, kas tika rādītas kā labākie rezultāti, izraisīja vai ierosināja novirzīšanas ķēdes uz ļaunprātīgām tīmekļa lapām. Proti, vietnes, kas pazīstamas ar GoPIX izplatīšanu, izmantoja likumīgus rīkus, lai filtrētu savus apmeklētājus, nodrošinot, ka saturam var piekļūt tikai īsti lietotāji, vienlaikus kavējot robotprogrammatūras. Šīs maldinošās lapas tika veidotas tā, lai tās atgādinātu oficiālo vietni WhatsApp.

Ir svarīgi atzīt, ka GoPIX var izplatīt arī, izmantojot alternatīvas metodes. Šīs ļaunprātīgās programmatūras izplatīšanā parasti tiek izmantotas pikšķerēšanas un sociālās inženierijas metodes. Tipiski izplatīšanas veidi ir slēptas lejupielādes, ļaunprātīgu pielikumu vai saišu iekļaušana surogātpasta ziņojumos (piemēram, e-pastā, privātās ziņās, īsziņās utt.), tiešsaistes krāpniecība, ļaunprātīga reklamēšana, aizdomīgi lejupielādes avoti (piemēram, bezmaksas programmatūra un bezmaksas fails). - mitināšanas platformas, vienādranga koplietošanas tīkli utt.), nelegāli programmatūras uzlaušanas rīki un viltotas programmatūras atjaunināšanas uzvednes.