Malware GoPIX

GoPIX amenință software-ul conceput special pentru a compromite platforma de plată instantanee Pix. În esență, acest malware funcționează ca un clipper, redirecționând tranzacțiile efectuate prin platforma Pix. În plus, funcționează ca un dispozitiv de tăiere convențional, extinzându-și domeniul de aplicare pentru a include tranzacțiile cu criptomonede.

GoPIX este în circulație cel puțin din decembrie 2022. Având în vedere că Pix este o platformă de plată înființată și supravegheată de Banca Centrală a Braziliei (BCB), baza sa de utilizatori este formată în principal de cetățeni brazilieni. În consecință, activitățile GoPIX se limitează în primul rând la peisajul brazilian.

Lanțul de infecție cu malware GoPIX

Infecțiile cu GoPIX provin din site-uri web amenințătoare care sunt promovate prin reclame înșelătoare, o tehnică cunoscută sub numele de publicitate incorectă, adesea folosită în otrăvirea motoarelor de căutare. În prezent, malware-ul este achiziționat dintr-una dintre cele două surse, selecția depinzând dacă dispozitivul victimei are portul 27275 deschis.

Acest port special este de obicei asociat cu un produs bancar legitim și sigur. În cazurile în care acest software este absent pe sistemul vizat, este preluat un pachet de instalare NSIS, care conține scripturi PowerShell și componente suplimentare. Acest lucru inițiază lanțul de infecție, ducând în cele din urmă la implementarea GoPIX. Cu toate acestea, dacă software-ul specific este prezent, este descărcată o arhivă ZIP, în care un fișier LNK deține un script PowerShell care propulsează și mai mult lanțul de infecție.

După cum am menționat mai devreme, GoPIX funcționează ca un malware de tip clipper. Această categorie de programe malware monitorizează conținutul copiat în clipboard (bufferul copy-paste) și îl înlocuiește cu informații diferite, modificând în cele din urmă ceea ce este lipit.

În cazul GoPIX, scanează în mod special pentru transferuri Pix. Atunci când detectează o cerere de plată, intervine prin substituirea datelor, redirecționând efectiv tranzacția către infractorii cibernetici. În special, informațiile utilizate de atacator nu sunt conectate hardware în malware, ci sunt flexibile și preluate de pe un server de comandă și control (C&C).

În plus, GoPIX funcționează ca un dispozitiv de tăiere care vizează adresele portofelului de criptomonede, o variantă mai comună. Cu toate acestea, în acest caz, adresele portofelului Bitcoin și Ethereum sunt predeterminate, spre deosebire de datele Pix, care sunt manipulate dinamic.

Malware-ul GoPIX ar putea fi răspândit prin reclame frauduloase

S-a observat că GoPIX se propagă prin campanii de malvertising, implicând în special o formă de otrăvire prin optimizarea motorului de căutare (SEO). Această tactică implică manipularea rezultatelor de căutare de top, de obicei anunțuri, care apar atunci când o anumită interogare este introdusă într-un motor de căutare. Aceste rezultate modificate redirecționează utilizatorii către site-uri web rău intenționate.

În aceste cazuri, interogarea de căutare aleasă a fost „WhatsApp web”, iar reclamele prezentate ca rezultate de top au condus la sau au inițiat lanțuri de redirecționare către pagini web rău intenționate. În special, site-urile web cunoscute pentru diseminarea GoPIX au folosit instrumente legitime pentru a-și filtra vizitatorii, asigurându-se că numai utilizatorii autentici pot accesa conținutul în timp ce împiedicau roboții. Aceste pagini înșelătoare au fost create pentru a semăna cu site-ul oficial WhatsApp.

Este esențial să recunoaștem că GoPIX poate fi distribuit și prin metode alternative. Tehnicile de phishing și de inginerie socială sunt utilizate în mod obișnuit în proliferarea acestui malware. Căile obișnuite de distribuție includ descărcări furtive, includerea atașamentelor sau link-urilor rău intenționate în mesajele spam (de exemplu, e-mailuri, mesaje private, mesaje text etc.), escrocherii online, publicitate malware, surse de descărcare suspecte (cum ar fi programele gratuite și fișierele gratuite). -platforme de găzduire, rețele de partajare peer-to-peer etc.), instrumente ilegale de spargere a software-ului și solicitări false de actualizare a software-ului.