ГоПИКС малвер

ГоПИКС представља претњу софтверу посебно дизајнираном да компромитује Пик платформу за тренутно плаћање. У суштини, овај малвер функционише као клипер, преусмеравајући трансакције које се обављају преко Пик платформе. Поред тога, ради као конвенционални клипер, проширујући свој обим тако да укључује трансакције криптовалута.

ГоПИКС је у оптицају најмање од децембра 2022. С обзиром да је Пик платформа за плаћање коју је успоставила и надгледа Централна банка Бразила (БЦБ), њену корисничку базу претежно чине грађани Бразила. Сходно томе, ГоПИКС-ове активности су првенствено ограничене на бразилски пејзаж.

Ланац заразе злонамерним софтвером ГоПИКС

ГоПИКС инфекције потичу од претећих веб локација које се промовишу путем обмањујућих огласа, техника позната као малвертисинг, која се често користи у тровању претраживача. Тренутно се злонамерни софтвер преузима из једног од два извора, а избор зависи од тога да ли уређај жртве има отворен порт 27275.

Ова конкретна лука је обично повезана са легитимним и сигурним банкарским производом. У случајевима када овај софтвер нема на циљаном систему, преузима се НСИС инсталациони пакет који садржи ПоверСхелл скрипте и додатне компоненте. Ово покреће ланац инфекције, што на крају доводи до примене ГоПИКС-а. Међутим, ако је присутан одређени софтвер, преузима се ЗИП архива, у оквиру које ЛНК датотека садржи ПоверСхелл скрипту која даље покреће ланац инфекције.

Као што је раније поменуто, ГоПИКС функционише као малвер типа клипер. Ова категорија злонамерног софтвера прати садржај копиран у међуспремник (бафер за копирање и лепљење) и замењује га различитим информацијама, на крају мењајући оно што је налепљено.

У случају ГоПИКС-а, он посебно скенира за Пик трансфере. Када открије захтев за плаћање, интервенише заменом података, ефективно преусмеравајући трансакцију на сајбер криминалце. Посебно, информације које користи нападач нису уграђене у малвер, већ су флексибилне и преузимају се са сервера за команду и контролу (Ц&Ц).

Поред тога, ГоПИКС ради као клипер који циља на адресе новчаника за криптовалуте, што је чешћа варијанта. Међутим, у овом случају, адресе Битцоин и Етхереум новчаника су унапред одређене, за разлику од Пик података, којима се динамички манипулише.

Злонамерни софтвер ГоПИКС могао би се ширити лажним рекламама

Примећено је да се ГоПИКС шири путем злонамерних кампања, посебно укључујући облик тровања оптимизацијом за претраживаче (СЕО). Ова тактика подразумева манипулисање врхунским резултатима претраге, обично огласима, који се појављују када се одређени упит унесе у претраживач. Ови измењени резултати преусмеравају кориснике на злонамерне веб локације.

У овим случајевима, изабрани упит за претрагу је био „ВхатсАпп веб“, а огласи представљени као најбољи резултати довели су до или покренули ланце преусмеравања на злонамерне веб странице. Значајно је да су веб странице познате по ширењу ГоПИКС-а користиле легитимне алате за филтрирање својих посетилаца, осигуравајући да само прави корисници могу приступити садржају док су спречавали ботове. Ове обмањујуће странице су направљене да личе на званичну веб локацију ВхатсАпп.

Неопходно је признати да се ГоПИКС такође може дистрибуирати алтернативним методама. Технике „пецања“ и друштвеног инжењеринга се обично користе у ширењу овог малвера. Типични путеви дистрибуције обухватају прикривена преузимања, укључивање злонамерних прилога или веза у нежељене поруке (нпр. е-поруке, приватне поруке, текстуалне поруке, итд.), онлајн преваре, злонамерно оглашавање, сумњиве изворе преузимања (као што су бесплатни софтвер и бесплатне датотеке -хостинг платформе, пеер-то-пеер мреже за дељење, итд.), нелегалне алатке за разбијање софтвера и лажне упите за ажурирање софтвера.