Malvér GoPIX

GoPIX predstavuje hrozivý softvér špeciálne navrhnutý tak, aby kompromitoval platformu okamžitých platieb Pix. Tento malvér v podstate funguje ako clipper, ktorý presmeruje transakcie uskutočnené cez platformu Pix. Okrem toho funguje ako bežný clipper, čím rozširuje svoj rozsah tak, aby zahŕňal transakcie s kryptomenami.

GoPIX je v obehu minimálne od decembra 2022. Vzhľadom na to, že Pix je platobná platforma založená a kontrolovaná Brazílskou centrálnou bankou (BCB), jej používateľskú základňu tvoria prevažne brazílski občania. V dôsledku toho sú aktivity GoPIX primárne obmedzené na brazílsku krajinu.

Infekčný reťazec malvéru GoPIX

Infekcie GoPIX pochádzajú z ohrozujúcich webových stránok, ktoré sú propagované prostredníctvom klamlivých reklám, čo je technika známa ako malvertising, ktorá sa často používa pri otravách vyhľadávačov. V súčasnosti sa malvér získava z jedného z dvoch zdrojov, pričom výber závisí od toho, či má zariadenie obete otvorený port 27275.

Tento konkrétny port je zvyčajne spojený s legitímnym a bezpečným bankovým produktom. V prípadoch, keď tento softvér v cieľovom systéme chýba, sa načíta inštalačný balík NSIS, ktorý obsahuje skripty PowerShell a ďalšie komponenty. Tým sa spustí infekčný reťazec, ktorý v konečnom dôsledku vedie k nasadeniu GoPIX. Ak je však prítomný špecifický softvér, stiahne sa archív ZIP, v rámci ktorého súbor LNK obsahuje skript PowerShell, ktorý ďalej poháňa infekčný reťazec.

Ako už bolo spomenuté, GoPIX funguje ako malvér typu clipper. Táto kategória škodlivého softvéru monitoruje obsah skopírovaný do schránky (vyrovnávacej pamäte na kopírovanie a prilepenie) a nahrádza ho inými informáciami, čím v konečnom dôsledku mení to, čo sa prilepí.

V prípade GoPIX špecificky skenuje prenosy Pix. Keď zistí žiadosť o platbu, zasiahne nahradením údajov a efektívne presmeruje transakciu na kyberzločincov. Je pozoruhodné, že informácie používané útočníkom nie sú pevne zapojené do malvéru, ale sú flexibilné a získavajú sa zo servera Command and Control (C&C).

GoPIX navyše funguje ako orezávač, ktorý sa zameriava na adresy peňaženiek kryptomien, čo je bežnejší variant. V tomto prípade sú však adresy Bitcoin a Ethereum peňaženky vopred určené, na rozdiel od údajov Pix, s ktorými sa dynamicky manipuluje.

Malvér GoPIX by sa mohol šíriť prostredníctvom podvodných reklám

Bolo pozorované, že GoPIX sa šíri prostredníctvom malverzívnych kampaní, konkrétne zahŕňajúcich formu otravy optimalizáciou pre vyhľadávače (SEO). Táto taktika zahŕňa manipuláciu s najlepšími výsledkami vyhľadávania, zvyčajne s reklamami, ktoré sa zobrazia po zadaní konkrétneho dopytu do vyhľadávača. Tieto zmenené výsledky presmerujú používateľov na škodlivé webové stránky.

V týchto prípadoch bol zvolený vyhľadávací dopyt „WhatsApp web“ a reklamy prezentované ako najlepšie výsledky viedli alebo iniciovali reťazce presmerovania na škodlivé webové stránky. Najmä webové stránky známe šírením GoPIX využívali legitímne nástroje na filtrovanie svojich návštevníkov, čím sa zabezpečilo, že k obsahu mali prístup iba skutoční používatelia a zároveň zabránili robotom. Tieto klamlivé stránky boli vytvorené tak, aby pripomínali oficiálnu webovú stránku WhatsApp.

Je dôležité si uvedomiť, že GoPIX možno distribuovať aj alternatívnymi metódami. Phishing a techniky sociálneho inžinierstva sa bežne využívajú pri šírení tohto malvéru. Typické spôsoby distribúcie zahŕňajú nenápadné preberanie, zahrnutie škodlivých príloh alebo odkazov do spamových správ (napr. e-mailov, súkromných správ, textových správ atď.), online podvody, škodlivú inzerciu, podozrivé zdroje sťahovania (ako napríklad freeware a bezplatný súbor -hostingové platformy, siete na zdieľanie typu peer-to-peer atď.), nelegálne nástroje na prelomenie softvéru a falošné výzvy na aktualizáciu softvéru.