GoPIX Malware

GoPIX truer programvare som er spesielt utviklet for å kompromittere Pix-plattformen for øyeblikkelig betaling. I hovedsak fungerer denne skadelige programvaren som en klipper, og omdirigerer transaksjoner utført gjennom Pix-plattformen. I tillegg fungerer den som en konvensjonell klipper, og utvider omfanget til å inkludere kryptovalutatransaksjoner.

GoPIX har vært i omløp siden minst desember 2022. Gitt at Pix er en betalingsplattform etablert og overvåket av Central Bank of Brazil (BCB), består brukerbasen hovedsakelig av brasilianske statsborgere. Følgelig er GoPIXs aktiviteter primært begrenset til det brasilianske landskapet.

GoPIX Malware Infection Chain

GoPIX-infeksjoner stammer fra truende nettsteder som markedsføres gjennom villedende annonser, en teknikk kjent som malvertising, ofte brukt i søkemotorforgiftning. For øyeblikket er skadelig programvare hentet fra en av to kilder, med valget avhengig av om offerets enhet har port 27275 åpen.

Denne spesielle porten er vanligvis forbundet med et legitimt og sikkert bankprodukt. I tilfeller der denne programvaren er fraværende på det målrettede systemet, hentes en NSIS-installasjonspakke som inneholder PowerShell-skript og tilleggskomponenter. Dette initierer infeksjonskjeden, som til slutt fører til distribusjon av GoPIX. Men hvis den spesifikke programvaren er til stede, lastes et ZIP-arkiv ned, der en LNK-fil inneholder et PowerShell-skript som driver infeksjonskjeden ytterligere.

Som nevnt tidligere fungerer GoPIX som en skadelig programvare av typen clipper. Denne kategorien skadelig programvare overvåker innholdet som er kopiert til utklippstavlen (kopier-lim-bufferen) og erstatter det med annen informasjon, og endrer til slutt hva som limes inn.

Når det gjelder GoPIX, skanner den spesifikt etter Pix-overføringer. Når den oppdager en betalingsforespørsel, griper den inn ved å erstatte dataene, og omdirigerer transaksjonen effektivt til nettkriminelle. Spesielt er informasjonen som brukes av angriperen ikke koblet til skadelig programvare, men er fleksibel og hentet fra en Command and Control (C&C) server.

I tillegg fungerer GoPIX som en klipper som retter seg mot cryptocurrency-lommebokadresser, en mer vanlig variant. I dette tilfellet er imidlertid Bitcoin- og Ethereum-lommebokadressene forhåndsbestemt, i motsetning til Pix-dataene, som er dynamisk manipulert.

GoPIX Malware kan spres gjennom falske annonser

GoPIX har blitt observert å forplante seg gjennom malvertising-kampanjer, spesifikt involverer en form for søkemotoroptimalisering (SEO)-forgiftning. Denne taktikken innebærer å manipulere de øverste søkeresultatene, vanligvis annonser, som vises når et spesifikt søk legges inn i en søkemotor. Disse endrede resultatene omdirigerer brukere til ondsinnede nettsteder.

I disse tilfellene var det valgte søket «WhatsApp-nettet», og annonsene som ble presentert som toppresultater førte til eller initierte kjeder med omdirigering til ondsinnede nettsider. Spesielt brukte nettstedene som er kjent for å spre GoPIX legitime verktøy for å filtrere sine besøkende, og sikret at bare ekte brukere kunne få tilgang til innholdet mens de hindret roboter. Disse villedende sidene ble laget for å ligne det offisielle WhatsApp-nettstedet.

Det er viktig å erkjenne at GoPIX også kan distribueres gjennom alternative metoder. Phishing og sosiale ingeniørteknikker brukes ofte i spredningen av denne skadelige programvaren. Typiske distribusjonsveier omfatter skjulte drive-by-nedlastinger, inkludering av ondsinnede vedlegg eller lenker i spam-meldinger (f.eks. e-poster, private meldinger, tekstmeldinger osv.), nettsvindel, malvertising, mistenkelige nedlastingskilder (som freeware og gratis filer). -vertsplattformer, peer-to-peer-delingsnettverk osv.), ulovlige verktøy for cracking av programvare og falske meldinger om programvareoppdatering.