GoPIX Malware

O GoPIX está ameaçando software projetado especificamente para comprometer a plataforma de pagamento instantâneo Pix. Em essência, esse malware funciona como um clipper, redirecionando as transações realizadas por meio da plataforma Pix. Além disso, opera como um clipper convencional, ampliando seu escopo para incluir transações de criptomoedas.

O GoPIX está em circulação pelo menos desde dezembro de 2022. Por ser o Pix uma plataforma de pagamentos estabelecida e supervisionada pelo Banco Central do Brasil (BCB), sua base de usuários é composta predominantemente por cidadãos brasileiros. Consequentemente, as atividades da GoPIX estão principalmente confinadas ao cenário brasileiro.

A Cadeia de Infecção pelo Malware GoPIX

As infecções pelo GoPIX originam-se de sites ameaçadores promovidos por meio de anúncios enganosos, uma técnica conhecida como malvertising, frequentemente empregada no envenenamento de mecanismos de pesquisa. Atualmente, o malware é adquirido de uma de duas fontes, com a seleção dependendo se o dispositivo da vítima tem a porta 27275 aberta.

Esta porta específica está normalmente associada a um produto bancário legítimo e seguro. Nos casos em que este software está ausente no sistema de destino, um pacote de instalação do NSIS é recuperado, contendo scripts do PowerShell e componentes adicionais. Isso inicia a cadeia de infecção, levando à implantação do GoPIX. No entanto, se o software específico estiver presente, um arquivo ZIP é baixado, dentro do qual um arquivo LNK contém um script do PowerShell que impulsiona ainda mais a cadeia de infecção.

Conforme mencionado anteriormente, o GoPIX funciona como um malware do tipo clipper. Esta categoria de malware monitora o conteúdo copiado para a área de transferência (o buffer de copiar e colar) e o substitui por informações diferentes, alterando, em última análise, o que é colado.

No caso do GoPIX, ele verifica especificamente transferências Pix. Ao detectar uma solicitação de pagamento, intervém substituindo os dados, redirecionando efetivamente a transação para os cibercriminosos. Notavelmente, as informações usadas pelo invasor não estão conectadas ao malware, mas são flexíveis e recuperadas de um servidor de Comando e Controle (C&C).

Além disso, o GoPIX opera como um clipper que tem como alvo endereços de carteiras de criptomoedas, uma variante mais comum. Porém, neste caso, os endereços das carteiras Bitcoin e Ethereum são pré-determinados, ao contrário dos dados do Pix, que são manipulados dinamicamente.

O Malware GoPIX pode ser Espalhado por Meio de Anúncios Fraudulentos

Observou-se que o GoPIX se propaga por meio de campanhas de malvertising, envolvendo especificamente uma forma de envenenamento por otimização de mecanismos de pesquisa (SEO). Essa tática envolve a manipulação dos principais resultados de pesquisa, normalmente anúncios, que aparecem quando uma consulta específica é inserida em um mecanismo de pesquisa. Esses resultados alterados redirecionam os usuários para sites maliciosos.

Nestes casos, a consulta de pesquisa escolhida foi ‘WhatsApp web’, e os anúncios apresentados como os principais resultados levaram ou iniciaram cadeias de redirecionamento para páginas Web maliciosas. Notavelmente, os sites conhecidos por disseminar o GoPIX empregaram ferramentas legítimas para filtrar seus visitantes, garantindo que apenas usuários genuínos pudessem acessar o conteúdo enquanto impediam os bots. Essas páginas enganosas foram criadas para se parecerem com o site oficial do WhatsApp.

É essencial reconhecer que o GoPIX também pode ser distribuído através de métodos alternativos. Técnicas de phishing e engenharia social são comumente utilizadas na proliferação desse malware. As vias de distribuição típicas incluem downloads drive-by furtivos, a inclusão de anexos ou links maliciosos em mensagens de spam (por exemplo, e-mails, mensagens privadas, mensagens de texto, etc.), golpes on-line, malvertising, fontes de download suspeitas (como freeware e arquivos gratuitos). -plataformas de hospedagem, redes de compartilhamento peer-to-peer, etc.), ferramentas ilegais de cracking de software e avisos falsos de atualização de software.