Złośliwe oprogramowanie GoPIX
GoPIX zagraża oprogramowaniu zaprojektowanemu specjalnie w celu naruszenia bezpieczeństwa platformy płatności natychmiastowych Pix. Zasadniczo to szkodliwe oprogramowanie działa jak maszynka do strzyżenia, przekierowując transakcje przeprowadzane za pośrednictwem platformy Pix. Dodatkowo działa jak konwencjonalny Clipper, rozszerzając swój zakres o transakcje kryptowalutowe.
GoPIX jest w obiegu co najmniej od grudnia 2022 r. Biorąc pod uwagę, że Pix jest platformą płatniczą utworzoną i nadzorowaną przez Bank Centralny Brazylii (BCB), jej baza użytkowników składa się głównie z obywateli Brazylii. W związku z tym działalność GoPIX ogranicza się głównie do krajobrazu Brazylii.
Łańcuch infekcji złośliwym oprogramowaniem GoPIX
Infekcje GoPIX pochodzą z zagrażających witryn internetowych, które są promowane za pomocą zwodniczych reklam, techniki znanej jako malvertising, często stosowanej w celu zatruwania wyszukiwarek. Obecnie szkodliwe oprogramowanie jest pozyskiwane z jednego z dwóch źródeł, przy czym wybór zależy od tego, czy urządzenie ofiary ma otwarty port 27275.
Ten konkretny port jest zazwyczaj kojarzony z legalnym i bezpiecznym produktem bankowym. W przypadkach, gdy tego oprogramowania nie ma w docelowym systemie, pobierany jest pakiet instalatora NSIS zawierający skrypty PowerShell i dodatkowe komponenty. To inicjuje łańcuch infekcji, który ostatecznie prowadzi do wdrożenia GoPIX. Jeśli jednak obecne jest określone oprogramowanie, pobierane jest archiwum ZIP, w którym znajduje się plik LNK zawierający skrypt PowerShell, który dodatkowo napędza łańcuch infekcji.
Jak wspomniano wcześniej, GoPIX działa jako złośliwe oprogramowanie typu Clipper. Ta kategoria szkodliwego oprogramowania monitoruje zawartość skopiowaną do schowka (bufor kopiowania i wklejania) i zastępuje ją innymi informacjami, ostatecznie zmieniając to, co jest wklejane.
W przypadku GoPIX skanuje w szczególności w poszukiwaniu transferów Pix. Kiedy wykryje żądanie płatności, interweniuje, podstawiając dane, skutecznie przekierowując transakcję do cyberprzestępców. Warto zauważyć, że informacje wykorzystywane przez osobę atakującą nie są na stałe wbudowane w złośliwe oprogramowanie, ale są elastyczne i pobierane z serwera dowodzenia i kontroli (C&C).
Dodatkowo GoPIX działa jako maszynka do strzyżenia, która atakuje adresy portfeli kryptowalut, co jest bardziej powszechnym wariantem. Jednak w tym przypadku adresy portfeli Bitcoin i Ethereum są z góry określone, w przeciwieństwie do danych Pix, którymi manipuluje się dynamicznie.
Złośliwe oprogramowanie GoPIX może być rozprzestrzeniane poprzez fałszywe reklamy
Zaobserwowano, że GoPIX rozprzestrzenia się poprzez kampanie zawierające złośliwe reklamy, w szczególności obejmujące formę zatruwania optymalizacji wyszukiwarek (SEO). Taktyka ta polega na manipulowaniu najwyższymi wynikami wyszukiwania, zazwyczaj reklamami, które pojawiają się po wpisaniu określonego zapytania w wyszukiwarce. Te zmienione wyniki przekierowują użytkowników do złośliwych witryn internetowych.
W tych przypadkach wybranym zapytaniem było „WhatsApp web”, a reklamy prezentowane jako najwyższe wyniki prowadziły lub inicjowały łańcuchy przekierowań do złośliwych stron internetowych. Warto zauważyć, że strony internetowe znane z rozpowszechniania GoPIX wykorzystywały legalne narzędzia do filtrowania odwiedzających, zapewniając dostęp do treści tylko prawdziwym użytkownikom i udaremniając działanie botów. Te zwodnicze strony zostały zaprojektowane tak, aby przypominały oficjalną witrynę WhatsApp.
Należy pamiętać, że GoPIX można również dystrybuować metodami alternatywnymi. Do rozprzestrzeniania tego szkodliwego oprogramowania powszechnie wykorzystuje się techniki phishingu i inżynierii społecznej. Typowe sposoby dystrybucji obejmują potajemne pobieranie plików typu drive-by, dołączanie złośliwych załączników lub łączy do wiadomości spamowych (np. e-maili, prywatnych wiadomości, SMS-ów itp.), oszustw internetowych, złośliwych reklam, podejrzanych źródeł pobierania (takich jak oprogramowanie freeware i bezpłatne pliki -platformy hostingowe, sieci udostępniania peer-to-peer itp.), nielegalne narzędzia do łamania oprogramowania i fałszywe monity o aktualizację oprogramowania.
