GoPIX zlonamerna programska oprema
GoPIX grozi programski opremi, posebej zasnovani za ogrožanje platforme za takojšnje plačevanje Pix. V bistvu ta zlonamerna programska oprema deluje kot strižnik, ki preusmerja transakcije, ki se izvajajo prek platforme Pix. Poleg tega deluje kot običajen strižnik, s čimer razširi svoj obseg na transakcije s kriptovalutami.
GoPIX je v obtoku vsaj od decembra 2022. Glede na to, da je Pix plačilna platforma, ki jo je vzpostavila in nadzira Centralna banka Brazilije (BCB), njeno uporabniško bazo sestavljajo predvsem brazilski državljani. Posledično so dejavnosti GoPIX-a omejene predvsem na brazilsko pokrajino.
Veriga okužbe z zlonamerno programsko opremo GoPIX
Okužbe GoPIX izvirajo iz grozečih spletnih mest, ki se oglašujejo prek zavajajočih oglasov, tehnike, znane kot malvertising, ki se pogosto uporablja pri zastrupljanju iskalnikov. Trenutno je zlonamerna programska oprema pridobljena iz enega od dveh virov, pri čemer je izbira odvisna od tega, ali ima naprava žrtve odprta vrata 27275.
Ta posebna vrata so običajno povezana z zakonitim in varnim bančnim produktom. V primerih, ko ta programska oprema v ciljnem sistemu ni, se pridobi namestitveni paket NSIS, ki vsebuje skripte PowerShell in dodatne komponente. To sproži verigo okužbe, ki na koncu vodi do uvedbe GoPIX. Če pa je določena programska oprema prisotna, se prenese arhiv ZIP, znotraj katerega datoteka LNK vsebuje skript PowerShell, ki nadalje poganja verigo okužbe.
Kot smo že omenili, GoPIX deluje kot zlonamerna programska oprema tipa clipper. Ta kategorija zlonamerne programske opreme spremlja vsebino, kopirano v odložišče (medpomnilnik za kopiranje in lepljenje), in jo nadomesti z drugačnimi informacijami, na koncu pa spremeni tisto, kar je prilepljeno.
V primeru GoPIX posebej išče prenose Pix. Ko zazna zahtevo za plačilo, posreduje tako, da zamenja podatke in transakcijo dejansko preusmeri na kibernetske kriminalce. Predvsem informacije, ki jih uporablja napadalec, niso vgrajene v zlonamerno programsko opremo, ampak so prilagodljive in pridobljene iz strežnika za ukaze in nadzor (C&C).
Poleg tega GoPIX deluje kot strižnik, ki cilja na naslove denarnice za kriptovalute, kar je pogostejša različica. Vendar sta v tem primeru naslova denarnice Bitcoin in Ethereum vnaprej določena, v nasprotju s podatki Pix, ki se dinamično manipulirajo.
Zlonamerna programska oprema GoPIX se lahko širi prek goljufivih oglasov
Opazili so, da se GoPIX širi prek oglaševalskih kampanj, ki posebej vključujejo obliko zastrupitve z optimizacijo iskalnikov (SEO). Ta taktika vključuje manipuliranje z najvišjimi rezultati iskanja, običajno oglasi, ki se prikažejo, ko v iskalnik vnesete določeno poizvedbo. Ti spremenjeni rezultati uporabnike preusmerjajo na zlonamerna spletna mesta.
V teh primerih je bila izbrana iskalna poizvedba 'WhatsApp web' in oglasi, predstavljeni kot najboljši rezultati, so vodili ali sprožili verige preusmeritev na zlonamerne spletne strani. Predvsem spletna mesta, znana po razširjanju GoPIX, so uporabljala zakonita orodja za filtriranje svojih obiskovalcev, s čimer so zagotovili, da lahko do vsebine dostopajo samo pravi uporabniki, medtem ko so onemogočali robote. Te zavajajoče strani so bile oblikovane tako, da spominjajo na uradno spletno stran WhatsApp.
Bistvenega pomena je priznati, da je GoPIX mogoče distribuirati tudi z alternativnimi metodami. Pri širjenju te zlonamerne programske opreme se običajno uporabljajo tehnike lažnega predstavljanja in socialnega inženiringa. Običajne distribucijske poti vključujejo prikrite prenose, vključitev zlonamernih prilog ali povezav v vsiljena sporočila (npr. e-poštna sporočila, zasebna sporočila, besedilna sporočila itd.), spletne prevare, zlonamerno oglaševanje, sumljive vire prenosov (kot so brezplačna programska oprema in brezplačne datoteke). - platforme za gostovanje, omrežja enakovrednega za skupno rabo itd.), nezakonita orodja za razbijanje programske opreme in lažni pozivi za posodobitev programske opreme.
