มัลแวร์ GoPIX

GoPIX กำลังคุกคามซอฟต์แวร์ที่ออกแบบมาโดยเฉพาะเพื่อโจมตีแพลตฟอร์มการชำระเงินทันทีของ Pix โดยพื้นฐานแล้ว มัลแวร์นี้ทำหน้าที่เป็นตัวตัดขน โดยเปลี่ยนเส้นทางธุรกรรมที่ดำเนินการผ่านแพลตฟอร์ม Pix นอกจากนี้ ยังทำงานเป็นปัตตาเลี่ยนทั่วไป ซึ่งขยายขอบเขตให้ครอบคลุมธุรกรรมสกุลเงินดิจิทัลด้วย

GoPIX เปิดให้บริการตั้งแต่อย่างน้อยเดือนธันวาคม 2022 เนื่องจาก Pix เป็นแพลตฟอร์มการชำระเงินที่ก่อตั้งและดูแลโดยธนาคารกลางแห่งบราซิล (BCB) ฐานผู้ใช้จึงส่วนใหญ่ประกอบด้วยพลเมืองบราซิล ด้วยเหตุนี้ กิจกรรมของ GoPIX จึงจำกัดอยู่เฉพาะในประเทศบราซิลเป็นหลัก

ห่วงโซ่การติดมัลแวร์ GoPIX

การติดไวรัส GoPIX เกิดขึ้นจากเว็บไซต์คุกคามที่ได้รับการโปรโมตผ่านโฆษณาหลอกลวง ซึ่งเป็นเทคนิคที่เรียกว่ามัลแวร์โฆษณา ซึ่งมักใช้ในการทำให้เครื่องมือค้นหาเสียหาย ปัจจุบันมัลแวร์ได้มาจากหนึ่งในสองแหล่ง โดยการเลือกขึ้นอยู่กับว่าอุปกรณ์ของเหยื่อเปิดพอร์ต 27275 หรือไม่

โดยทั่วไปแล้วพอร์ตเฉพาะนี้จะเชื่อมโยงกับผลิตภัณฑ์ทางธนาคารที่ถูกต้องและปลอดภัย ในกรณีที่ไม่มีซอฟต์แวร์นี้อยู่บนระบบเป้าหมาย แพ็คเกจตัวติดตั้ง NSIS จะถูกดึงข้อมูล ซึ่งมีสคริปต์ PowerShell และส่วนประกอบเพิ่มเติม สิ่งนี้จะเริ่มต้นห่วงโซ่การติดไวรัส และนำไปสู่การปรับใช้ GoPIX ในท้ายที่สุด อย่างไรก็ตาม หากมีซอฟต์แวร์เฉพาะอยู่ ไฟล์ ZIP จะถูกดาวน์โหลด ซึ่งภายในไฟล์ LNK จะเก็บสคริปต์ PowerShell ที่ขับเคลื่อนห่วงโซ่การติดไวรัสต่อไป

ตามที่กล่าวไว้ข้างต้น GoPIX ทำหน้าที่เป็นมัลแวร์ประเภทปัตตาเลี่ยน มัลแวร์ประเภทนี้จะตรวจสอบเนื้อหาที่คัดลอกลงในคลิปบอร์ด (บัฟเฟอร์การคัดลอก-วาง) และแทนที่ด้วยข้อมูลอื่น ซึ่งท้ายที่สุดจะเปลี่ยนแปลงสิ่งที่ถูกวาง

ในกรณีของ GoPIX ระบบจะสแกนหาการถ่ายโอน Pix โดยเฉพาะ เมื่อตรวจพบคำขอชำระเงิน ระบบจะเข้าแทรกแซงโดยการแทนที่ข้อมูล และเปลี่ยนเส้นทางธุรกรรมไปยังอาชญากรไซเบอร์อย่างมีประสิทธิภาพ โดยเฉพาะอย่างยิ่ง ข้อมูลที่ผู้โจมตีใช้ไม่ได้เดินสายเข้าไปในมัลแวร์ แต่มีความยืดหยุ่นและดึงมาจากเซิร์ฟเวอร์ Command and Control (C&C)

นอกจากนี้ GoPIX ยังทำงานเป็นปัตตาเลี่ยนที่กำหนดเป้าหมายไปยังที่อยู่กระเป๋าสตางค์สกุลเงินดิจิทัล ซึ่งเป็นรูปแบบทั่วไป อย่างไรก็ตาม ในกรณีนี้ ที่อยู่กระเป๋าเงิน Bitcoin และ Ethereum ถูกกำหนดไว้ล่วงหน้า ตรงกันข้ามกับข้อมูล Pix ซึ่งได้รับการจัดการแบบไดนามิก

มัลแวร์ GoPIX อาจแพร่กระจายผ่านโฆษณาที่ฉ้อโกง

GoPIX ได้รับการสังเกตว่าเผยแพร่ผ่านแคมเปญโฆษณามัลแวร์ โดยเฉพาะอย่างยิ่งที่เกี่ยวข้องกับรูปแบบของการวางยาพิษในการเพิ่มประสิทธิภาพกลไกค้นหา (SEO) กลยุทธ์นี้เกี่ยวข้องกับการจัดการกับผลการค้นหายอดนิยม ซึ่งโดยทั่วไปคือโฆษณา ซึ่งจะปรากฏขึ้นเมื่อมีการป้อนคำค้นหาเฉพาะลงในเครื่องมือค้นหา ผลลัพธ์ที่เปลี่ยนแปลงเหล่านี้เปลี่ยนเส้นทางผู้ใช้ไปยังเว็บไซต์ที่เป็นอันตราย

ในกรณีเหล่านี้ คำค้นหาที่เลือกคือ 'เว็บ WhatsApp' และโฆษณาที่แสดงเป็นผลลัพธ์อันดับต้นๆ นำไปสู่หรือเริ่มต้นการเปลี่ยนเส้นทางไปยังหน้าเว็บที่เป็นอันตรายอย่างต่อเนื่อง โดยเฉพาะอย่างยิ่ง เว็บไซต์ที่เป็นที่รู้จักในการเผยแพร่ GoPIX ใช้เครื่องมือที่ถูกต้องตามกฎหมายในการกรองผู้เข้าชม เพื่อให้มั่นใจว่าผู้ใช้ที่แท้จริงเท่านั้นที่สามารถเข้าถึงเนื้อหาได้ในขณะที่ขัดขวางบอท หน้าที่หลอกลวงเหล่านี้ถูกสร้างขึ้นให้มีลักษณะคล้ายกับเว็บไซต์อย่างเป็นทางการของ WhatsApp

สิ่งสำคัญคือต้องรับทราบว่า GoPIX สามารถเผยแพร่ผ่านวิธีการอื่นได้เช่นกัน เทคนิคฟิชชิ่งและวิศวกรรมสังคมมักใช้ในการแพร่กระจายของมัลแวร์นี้ ช่องทางการเผยแพร่โดยทั่วไปประกอบด้วยการดาวน์โหลดแบบไดรฟ์ลับๆ การรวมไฟล์แนบที่เป็นอันตรายหรือลิงก์ในข้อความสแปม (เช่น อีเมล ข้อความส่วนตัว ข้อความ ฯลฯ) การหลอกลวงออนไลน์ มัลแวร์โฆษณา แหล่งดาวน์โหลดที่น่าสงสัย (เช่น ฟรีแวร์และไฟล์ฟรี) - แพลตฟอร์มการโฮสต์ เครือข่ายการแบ่งปันแบบเพียร์ทูเพียร์ ฯลฯ) เครื่องมือแคร็กซอฟต์แวร์ที่ผิดกฎหมาย และการแจ้งเตือนให้อัปเดตซอฟต์แวร์ปลอม