GoPIX-malware

GoPIX bedreigt software die speciaal is ontworpen om het Pix-platform voor directe betaling in gevaar te brengen. In wezen functioneert deze malware als een clipper, die transacties via het Pix-platform omleidt. Bovendien werkt het als een conventionele clipper, waardoor de reikwijdte ervan wordt uitgebreid met cryptocurrency-transacties.

GoPIX is in ieder geval sinds december 2022 in omloop. Aangezien Pix een betalingsplatform is dat is opgericht en onder toezicht staat van de Centrale Bank van Brazilië (BCB), bestaat het gebruikersbestand voornamelijk uit Braziliaanse burgers. De activiteiten van GoPIX beperken zich dan ook voornamelijk tot het Braziliaanse landschap.

De GoPIX-malware-infectieketen

GoPIX-infecties zijn afkomstig van bedreigende websites die worden gepromoot via misleidende advertenties, een techniek die bekend staat als malvertising en die vaak wordt gebruikt bij zoekmachinevergiftiging. Momenteel wordt de malware verkregen uit een van de twee bronnen, waarbij de selectie afhangt van de vraag of het apparaat van het slachtoffer poort 27275 open heeft.

Deze specifieke poort wordt doorgaans geassocieerd met een legitiem en veilig bankproduct. In gevallen waarin deze software afwezig is op het beoogde systeem, wordt een NSIS-installatiepakket opgehaald met PowerShell-scripts en aanvullende componenten. Dit initieert de infectieketen, die uiteindelijk leidt tot de inzet van GoPIX. Als de specifieke software echter aanwezig is, wordt een ZIP-archief gedownload, waarin een LNK-bestand een PowerShell-script bevat dat de infectieketen verder voortstuwt.

Zoals eerder vermeld, functioneert GoPIX als malware van het clipper-type. Deze categorie malware controleert de inhoud die naar het klembord is gekopieerd (de kopieer-plakbuffer) en vervangt deze door andere informatie, waardoor uiteindelijk wordt gewijzigd wat wordt geplakt.

In het geval van GoPIX wordt specifiek gescand op Pix-overdrachten. Wanneer het een betalingsverzoek detecteert, komt het tussenbeide door de gegevens te vervangen, waardoor de transactie effectief wordt doorgestuurd naar de cybercriminelen. Opvallend is dat de door de aanvaller gebruikte informatie niet in de malware is ingebed, maar flexibel is en wordt opgehaald van een Command and Control (C&C)-server.

Bovendien werkt GoPIX als een clipper die zich richt op portemonnee-adressen voor cryptocurrency, een vaker voorkomende variant. In dit geval zijn de portemonnee-adressen van Bitcoin en Ethereum echter vooraf bepaald, in tegenstelling tot de Pix-gegevens, die dynamisch worden gemanipuleerd.

De GoPIX-malware kan worden verspreid via frauduleuze advertenties

Er is waargenomen dat GoPIX zich verspreidt via malvertisingcampagnes, waarbij met name sprake is van een vorm van zoekmachineoptimalisatie (SEO). Deze tactiek omvat het manipuleren van de bovenste zoekresultaten, meestal advertenties, die verschijnen wanneer een specifieke zoekopdracht in een zoekmachine wordt ingevoerd. Deze gewijzigde resultaten leiden gebruikers om naar kwaadaardige websites.

In deze gevallen was de gekozen zoekopdracht 'WhatsApp web' en leidden de advertenties die als topresultaten werden gepresenteerd tot of leidden ze tot omleidingen naar kwaadaardige webpagina's. Met name de websites die bekend staan om het verspreiden van GoPIX gebruikten legitieme tools om hun bezoekers te filteren, zodat alleen echte gebruikers toegang hadden tot de inhoud, terwijl bots werden tegengewerkt. Deze misleidende pagina's zijn zo gemaakt dat ze lijken op de officiële WhatsApp-website.

Het is essentieel om te erkennen dat GoPIX ook via alternatieve methoden kan worden gedistribueerd. Phishing- en social engineering-technieken worden vaak gebruikt bij de verspreiding van deze malware. Typische distributiekanalen omvatten heimelijke drive-by downloads, het opnemen van kwaadaardige bijlagen of links in spamberichten (bijv. e-mails, privéberichten, sms-berichten, enz.), online oplichting, malvertising, verdachte downloadbronnen (zoals freeware en gratis bestandsformaten). -hostingplatforms, peer-to-peer-deelnetwerken, enz.), illegale tools voor het kraken van software en valse software-updateprompts.