Malware GoPIX
GoPIX po kërcënon softuerin e krijuar posaçërisht për të komprometuar platformën e pagesave të menjëhershme Pix. Në thelb, ky malware funksionon si një gërshërë, duke ridrejtuar transaksionet e kryera përmes platformës Pix. Për më tepër, ai funksionon si një gërshërë konvencionale, duke zgjeruar fushën e tij për të përfshirë transaksionet e kriptomonedhave.
GoPIX ka qenë në qarkullim të paktën që nga dhjetori 2022. Duke qenë se Pix është një platformë pagesash e krijuar dhe mbikëqyrur nga Banka Qendrore e Brazilit (BCB), baza e saj e përdoruesve përbëhet kryesisht nga qytetarë brazilianë. Rrjedhimisht, aktivitetet e GoPIX janë të kufizuara kryesisht në peizazhin brazilian.
Zinxhiri i Infeksionit të Malware GoPIX
Infeksionet GoPIX e kanë origjinën nga faqet e internetit kërcënuese që promovohen përmes reklamave mashtruese, një teknikë e njohur si keqvertim, e përdorur shpesh në helmimin e motorëve të kërkimit. Aktualisht, malware është marrë nga një nga dy burimet, me zgjedhjen në varësi të faktit nëse pajisja e viktimës ka portin 27275 të hapur.
Ky port i veçantë zakonisht lidhet me një produkt bankar legjitim dhe të sigurt. Në rastet kur ky softuer mungon në sistemin e synuar, merret një paketë instaluesi NSIS, që përmban skriptet PowerShell dhe komponentë shtesë. Kjo fillon zinxhirin e infeksionit, duke çuar përfundimisht në vendosjen e GoPIX. Sidoqoftë, nëse softueri specifik është i pranishëm, shkarkohet një arkiv ZIP, brenda të cilit një skedar LNK mban një skript PowerShell që shtyn më tej zinxhirin e infeksionit.
Siç u përmend më herët, GoPIX funksionon si një malware i tipit klipper. Kjo kategori malware monitoron përmbajtjen e kopjuar në clipboard (buferin copy-paste) dhe e zëvendëson atë me informacione të ndryshme, duke ndryshuar përfundimisht atë që ngjitet.
Në rastin e GoPIX, ai skanon në mënyrë specifike për transferimet Pix. Kur zbulon një kërkesë pagese, ai ndërhyn duke zëvendësuar të dhënat, duke ridrejtuar në mënyrë efektive transaksionin te kriminelët kibernetikë. Veçanërisht, informacioni i përdorur nga sulmuesi nuk është i lidhur në malware, por është fleksibël dhe merret nga një server Komanda dhe Kontrolli (C&C).
Për më tepër, GoPIX funksionon si një gërshërë që synon adresat e portofolit të kriptomonedhave, një variant më i zakonshëm. Megjithatë, në këtë rast, adresat e portofolit të Bitcoin dhe Ethereum janë të paracaktuara, në kontrast me të dhënat Pix, të cilat manipulohen në mënyrë dinamike.
Malware GoPIX mund të përhapet përmes reklamave mashtruese
GoPIX është vërejtur të përhapet përmes fushatave të keqverifikimeve, veçanërisht duke përfshirë një formë helmimi të optimizimit të motorëve të kërkimit (SEO). Kjo taktikë përfshin manipulimin e rezultateve kryesore të kërkimit, zakonisht reklamat, që shfaqen kur një pyetje specifike futet në një motor kërkimi. Këto rezultate të ndryshuara i ridrejtojnë përdoruesit në faqet e internetit me qëllim të keq.
Në këto raste, pyetja e zgjedhur e kërkimit ishte 'WhatsApp ueb' dhe reklamat e paraqitura si rezultatet kryesore çuan në zinxhirë ridrejtimi në faqet e internetit me qëllim të keq. Veçanërisht, faqet e internetit të njohura për shpërndarjen e GoPIX përdorën mjete legjitime për të filtruar vizitorët e tyre, duke siguruar që vetëm përdoruesit e vërtetë mund të hynin në përmbajtje duke penguar robotët. Këto faqe mashtruese u krijuan për t'i ngjanur faqes zyrtare të WhatsApp.
Është thelbësore të pranohet se GoPIX mund të shpërndahet edhe nëpërmjet metodave alternative. Teknikat e phishing dhe inxhinierisë sociale përdoren zakonisht në përhapjen e këtij malware. Rrugët tipike të shpërndarjes përfshijnë shkarkime të fshehta nga makinë, përfshirjen e bashkëngjitjeve ose lidhjeve me qëllim të keq në mesazhet e padëshiruara (p.sh. email, mesazhe private, mesazhe me tekst, etj.), mashtrimet në internet, keqverifikimet, burimet e dyshimta të shkarkimit (të tilla si pa pagesë dhe skedarë falas -platformat e pritjes, rrjetet e ndarjes nga kolegët, etj.), mjetet e paligjshme të thyerjes së softuerit dhe kërkesat e rreme të përditësimit të softuerit.
