Вредоносное ПО GoPIX

GoPIX угрожает программному обеспечению, специально разработанному для компрометации платформы мгновенных платежей Pix. По сути, это вредоносное ПО действует как клиппер, перенаправляя транзакции, проводимые через платформу Pix. Кроме того, он работает как обычный клиппер, расширяя сферу своей деятельности за счет транзакций криптовалюты.

GoPIX находится в обращении как минимум с декабря 2022 года. Учитывая, что Pix — это платежная платформа, созданная и контролируемая Центральным банком Бразилии (BCB), ее пользовательскую базу составляют преимущественно граждане Бразилии. Следовательно, деятельность GoPIX в основном ограничивается бразильским ландшафтом.

Цепочка заражения вредоносным ПО GoPIX

Заражение GoPIX происходит от угрожающих веб-сайтов, которые продвигаются с помощью обманной рекламы — метода, известного как вредоносная реклама, который часто используется для отравления поисковых систем. На данный момент вредоносная программа приобретается из одного из двух источников, выбор которых зависит от того, открыт ли на устройстве жертвы порт 27275.

Этот конкретный порт обычно ассоциируется с законным и безопасным банковским продуктом. В тех случаях, когда это программное обеспечение отсутствует в целевой системе, извлекается пакет установщика NSIS, содержащий сценарии PowerShell и дополнительные компоненты. Это запускает цепочку заражения, которая в конечном итоге приводит к развертыванию GoPIX. Однако, если определенное программное обеспечение присутствует, загружается ZIP-архив, внутри которого файл LNK содержит сценарий PowerShell, который далее продвигает цепочку заражения.

Как упоминалось ранее, GoPIX действует как вредоносное ПО типа клипера. Эта категория вредоносных программ отслеживает содержимое, скопированное в буфер обмена (буфер копирования-вставки), и заменяет его другой информацией, в конечном итоге изменяя то, что вставляется.

В случае GoPIX он специально сканирует передачи Pix. Когда он обнаруживает запрос на оплату, он вмешивается, подменяя данные, фактически перенаправляя транзакцию киберпреступникам. Примечательно, что информация, используемая злоумышленником, не встроена в вредоносное ПО, а является гибкой и извлекается с сервера управления и контроля (C&C).

Кроме того, GoPIX работает как клиппер, нацеленный на адреса криптовалютных кошельков, что является более распространенным вариантом. Однако в этом случае адреса кошельков Bitcoin и Ethereum предопределены, в отличие от данных Pix, которыми манипулируют динамически.

Вредоносное ПО GoPIX может распространяться через мошенническую рекламу

Было замечено, что GoPIX распространяется посредством кампаний по распространению вредоносной рекламы, в частности, с использованием одной из форм отравления поисковой оптимизацией (SEO). Эта тактика предполагает манипулирование лучшими результатами поиска, обычно рекламными объявлениями, которые появляются при вводе определенного запроса в поисковую систему. Эти измененные результаты перенаправляют пользователей на вредоносные веб-сайты.

В этих случаях выбранным поисковым запросом был «WhatsApp web», а рекламные объявления, представленные в первых результатах, приводили или инициировали цепочки перенаправления на вредоносные веб-страницы. Примечательно, что веб-сайты, известные распространением GoPIX, использовали законные инструменты для фильтрации своих посетителей, обеспечивая доступ к контенту только настоящим пользователям и препятствуя работе ботов. Эти обманчивые страницы были созданы так, чтобы напоминать официальный сайт WhatsApp.

Важно признать, что GoPIX также можно распространять альтернативными методами. Для распространения этого вредоносного ПО обычно используются методы фишинга и социальной инженерии. Типичные способы распространения включают скрытую загрузку с диска, включение вредоносных вложений или ссылок в спам-сообщения (например, электронные письма, личные сообщения, текстовые сообщения и т. д.), онлайн-мошенничество, вредоносную рекламу, подозрительные источники загрузки (например, бесплатное ПО и бесплатные файлы). -хостинговые платформы, одноранговые сети обмена и т. д.), нелегальные инструменты для взлома программного обеспечения и поддельные запросы на обновление программного обеспечения.