Perisian Hasad GoPIX
GoPIX mengancam perisian yang direka bentuk khusus untuk menjejaskan platform pembayaran segera Pix. Pada dasarnya, perisian hasad ini berfungsi sebagai pemotong, mengubah hala transaksi yang dijalankan melalui platform Pix. Selain itu, ia beroperasi sebagai pemotong konvensional, memperluaskan skopnya untuk memasukkan transaksi mata wang kripto.
GoPIX telah berada dalam edaran sejak sekurang-kurangnya Disember 2022. Memandangkan Pix ialah platform pembayaran yang ditubuhkan dan diawasi oleh Bank Pusat Brazil (BCB), pangkalan penggunanya kebanyakannya terdiri daripada warganegara Brazil. Oleh itu, aktiviti GoPIX terutamanya terhad kepada landskap Brazil.
Rantaian Jangkitan Perisian Hasad GoPIX
Jangkitan GoPIX berpunca daripada laman web mengancam yang dipromosikan melalui iklan menipu, teknik yang dikenali sebagai malvertising, sering digunakan dalam keracunan enjin carian. Pada masa ini, perisian hasad diperoleh daripada salah satu daripada dua sumber, dengan pemilihan bergantung pada sama ada peranti mangsa mempunyai port 27275 terbuka.
Pelabuhan khusus ini biasanya dikaitkan dengan produk perbankan yang sah dan selamat. Dalam keadaan apabila perisian ini tiada pada sistem yang disasarkan, pakej pemasang NSIS diambil, mengandungi skrip PowerShell dan komponen tambahan. Ini memulakan rantaian jangkitan, akhirnya membawa kepada penggunaan GoPIX. Walau bagaimanapun, jika perisian khusus itu ada, arkib ZIP dimuat turun, di mana fail LNK menyimpan skrip PowerShell yang terus mendorong rantaian jangkitan.
Seperti yang dinyatakan sebelum ini, GoPIX berfungsi sebagai perisian hasad jenis clipper. Kategori perisian hasad ini memantau kandungan yang disalin ke dalam papan keratan (penampan salin-tampal) dan menggantikannya dengan maklumat yang berbeza, akhirnya mengubah apa yang ditampal.
Dalam kes GoPIX, ia mengimbas secara khusus untuk pemindahan Pix. Apabila ia mengesan permintaan pembayaran, ia campur tangan dengan menggantikan data, dengan berkesan mengubah hala transaksi kepada penjenayah siber. Terutamanya, maklumat yang digunakan oleh penyerang tidak disambungkan ke dalam perisian hasad tetapi fleksibel dan diperoleh daripada pelayan Perintah dan Kawalan (C&C).
Selain itu, GoPIX beroperasi sebagai pemotong yang menyasarkan alamat dompet mata wang kripto, varian yang lebih biasa. Walau bagaimanapun, dalam kes ini, alamat dompet Bitcoin dan Ethereum telah ditetapkan, berbeza dengan data Pix, yang dimanipulasi secara dinamik.
Perisian Hasad GoPIX boleh disebarkan melalui Iklan Penipuan
GoPIX telah diperhatikan untuk menyebarkan melalui kempen malvertising, khususnya melibatkan satu bentuk keracunan pengoptimuman enjin carian (SEO). Taktik ini memerlukan memanipulasi hasil carian teratas, biasanya iklan, yang muncul apabila pertanyaan khusus dimasukkan ke dalam enjin carian. Keputusan yang diubah ini mengubah hala pengguna ke tapak web berniat jahat.
Dalam kes ini, pertanyaan carian yang dipilih ialah 'WhatsApp web,' dan iklan yang dipaparkan sebagai hasil teratas membawa kepada atau memulakan rantaian ubah hala ke halaman Web yang berniat jahat. Terutamanya, tapak web yang terkenal untuk menyebarkan GoPIX menggunakan alat yang sah untuk menapis pelawat mereka, memastikan hanya pengguna tulen boleh mengakses kandungan sambil menggagalkan bot. Halaman-halaman yang mengelirukan ini telah dibuat untuk menyerupai laman web rasmi WhatsApp.
Adalah penting untuk mengakui bahawa GoPIX juga boleh diedarkan melalui kaedah alternatif. Teknik pancingan data dan kejuruteraan sosial biasanya digunakan dalam penyebaran perisian hasad ini. Jalan pengedaran biasa merangkumi muat turun pandu secara senyap, kemasukan lampiran atau pautan berniat jahat dalam mesej spam (cth, e-mel, mesej peribadi, mesej teks, dll.), penipuan dalam talian, penyelewengan, sumber muat turun yang mencurigakan (seperti perisian percuma dan fail percuma -platform pengehosan, rangkaian perkongsian peer-to-peer, dsb.), alat pemecah perisian haram dan gesaan kemas kini perisian palsu.
