GoPIX Malware
GoPIX hotar programvara som är speciellt framtagen för att äventyra Pix-plattformen för omedelbar betalning. I huvudsak fungerar denna skadliga programvara som en klippare, som omdirigerar transaktioner som genomförs via Pix-plattformen. Dessutom fungerar den som en konventionell klippare, vilket utökar dess räckvidd till att omfatta kryptovalutatransaktioner.
GoPIX har varit i omlopp sedan åtminstone december 2022. Med tanke på att Pix är en betalningsplattform som etablerats och övervakas av Brasiliens centralbank (BCB), består dess användarbas till övervägande del av brasilianska medborgare. Följaktligen är GoPIX:s verksamhet främst begränsad till det brasilianska landskapet.
GoPIX Malware Infection Chain
GoPIX-infektioner härrör från hotfulla webbplatser som marknadsförs genom vilseledande annonser, en teknik som kallas malvertising, som ofta används vid sökmotorförgiftning. För närvarande hämtas skadlig programvara från en av två källor, med valet beroende på om offrets enhet har port 27275 öppen.
Denna speciella port är vanligtvis förknippad med en legitim och säker bankprodukt. I de fall där denna programvara saknas på det riktade systemet, hämtas ett NSIS-installationspaket som innehåller PowerShell-skript och ytterligare komponenter. Detta initierar infektionskedjan, vilket i slutändan leder till utplaceringen av GoPIX. Men om den specifika programvaran finns, laddas ett ZIP-arkiv ner, inom vilket en LNK-fil innehåller ett PowerShell-skript som driver infektionskedjan ytterligare.
Som nämnts tidigare fungerar GoPIX som en skadlig kod av clippertyp. Denna kategori av skadlig programvara övervakar innehållet som kopieras till urklipp (copy-paste-bufferten) och ersätter det med annan information, vilket i slutändan ändrar vad som klistras in.
När det gäller GoPIX söker den specifikt efter Pix-överföringar. När den upptäcker en betalningsförfrågan ingriper den genom att ersätta data, vilket effektivt omdirigerar transaktionen till cyberbrottslingar. Noterbart är att informationen som används av angriparen inte är kopplad till skadlig programvara utan är flexibel och hämtas från en Command and Control-server (C&C).
Dessutom fungerar GoPIX som en klippare som riktar sig till kryptovaluta-plånboksadresser, en vanligare variant. Men i det här fallet är Bitcoin- och Ethereum-plånboksadresserna förutbestämda, i motsats till Pix-data, som manipuleras dynamiskt.
GoPIX Malware kan spridas genom bedrägliga annonser
GoPIX har visat sig spridas genom malvertising-kampanjer, särskilt som involverar en form av sökmotoroptimeringsförgiftning (SEO). Denna taktik innebär att manipulera de bästa sökresultaten, vanligtvis annonser, som visas när en specifik fråga skrivs in i en sökmotor. Dessa ändrade resultat omdirigerar användare till skadliga webbplatser.
I dessa fall var den valda sökfrågan "WhatsApp-webb", och annonserna som presenterades som toppresultat ledde till eller initierade kedjor av omdirigering till skadliga webbsidor. Inte minst använde de webbplatser som är kända för att sprida GoPIX legitima verktyg för att filtrera sina besökare, vilket säkerställer att endast äkta användare kunde komma åt innehållet samtidigt som bots motverkas. Dessa vilseledande sidor skapades för att likna den officiella WhatsApp-webbplatsen.
Det är viktigt att erkänna att GoPIX också kan distribueras genom alternativa metoder. Nätfiske och social ingenjörsteknik används ofta i spridningen av denna skadliga programvara. Typiska distributionsvägar omfattar smygande nedladdningar, inkludering av skadliga bilagor eller länkar i skräppostmeddelanden (t.ex. e-post, privata meddelanden, textmeddelanden, etc.), onlinebedrägerier, malvertising, misstänkta nedladdningskällor (som gratisprogram och gratisfiler). -hosting-plattformar, peer-to-peer-delningsnätverk, etc.), illegala verktyg för programknäckning och falska programvaruuppdateringar.
