Malware ng GoPIX
Ang GoPIX ay nagbabanta sa software na partikular na ginawa upang ikompromiso ang platform ng instant na pagbabayad ng Pix. Sa esensya, gumagana ang malware na ito bilang isang clipper, na nagre-redirect ng mga transaksyon na isinasagawa sa pamamagitan ng Pix platform. Bukod pa rito, ito ay gumagana bilang isang conventional clipper, na nagpapalawak ng saklaw nito upang isama ang mga transaksyon sa cryptocurrency.
Ang GoPIX ay nasa sirkulasyon mula noong hindi bababa sa Disyembre 2022. Dahil ang Pix ay isang platform ng pagbabayad na itinatag at pinangangasiwaan ng Central Bank of Brazil (BCB), ang user base nito ay kadalasang binubuo ng mga mamamayan ng Brazil. Dahil dito, ang mga aktibidad ng GoPIX ay pangunahing nakakulong sa landscape ng Brazil.
Ang GoPIX Malware Infection Chain
Ang mga impeksyon sa GoPIX ay nagmumula sa mga nagbabantang website na na-promote sa pamamagitan ng mapanlinlang na mga ad, isang pamamaraan na kilala bilang malvertising, na kadalasang ginagamit sa pagkalason sa search engine. Sa kasalukuyan, ang malware ay nakuha mula sa isa sa dalawang pinagmumulan, na ang pagpili ay depende sa kung ang device ng biktima ay may bukas na port 27275.
Ang partikular na port na ito ay karaniwang nauugnay sa isang lehitimong at secure na produkto ng pagbabangko. Sa mga pagkakataon kung saan ang software na ito ay wala sa naka-target na system, isang NSIS installer package ang kinukuha, na naglalaman ng PowerShell script at karagdagang mga bahagi. Pinasimulan nito ang chain ng impeksyon, na humahantong sa pag-deploy ng GoPIX. Gayunpaman, kung ang partikular na software ay naroroon, ang isang ZIP archive ay dina-download, kung saan ang isang LNK file ay nagtataglay ng isang PowerShell script na higit pang nagtutulak sa chain ng impeksyon.
Gaya ng nabanggit kanina, gumagana ang GoPIX bilang isang clipper-type na malware. Sinusubaybayan ng kategoryang ito ng malware ang mga content na kinopya sa clipboard (ang copy-paste buffer) at pinapalitan ito ng iba't ibang impormasyon, sa huli ay binabago kung ano ang na-paste.
Sa kaso ng GoPIX, partikular itong nag-scan para sa mga paglilipat ng Pix. Kapag nakakita ito ng kahilingan sa pagbabayad, nakikialam ito sa pamamagitan ng pagpapalit sa data, na epektibong nire-redirect ang transaksyon sa mga cybercriminal. Kapansin-pansin, ang impormasyong ginagamit ng umaatake ay hindi naka-hardwired sa malware ngunit nababaluktot at kinukuha mula sa isang Command and Control (C&C) server.
Bukod pa rito, gumagana ang GoPIX bilang isang clipper na nagta-target ng mga address ng cryptocurrency wallet, isang mas karaniwang variant. Gayunpaman, sa kasong ito, ang mga address ng Bitcoin at Ethereum wallet ay paunang natukoy, kabaligtaran sa data ng Pix, na dynamic na manipulahin.
Ang GoPIX Malware ay maaaring Ikalat sa pamamagitan ng Mga Mapanlinlang na Advertisement
Ang GoPIX ay naobserbahang lumaganap sa pamamagitan ng mga kampanyang malvertising, partikular na kinasasangkutan ng isang anyo ng pagkalason sa search engine optimization (SEO). Ang taktika na ito ay nangangailangan ng pagmamanipula sa mga nangungunang resulta ng paghahanap, karaniwang mga ad, na lumilitaw kapag ang isang partikular na query ay ipinasok sa isang search engine. Ang mga binagong resultang ito ay nagre-redirect ng mga user sa mga nakakahamak na website.
Sa mga kasong ito, ang napiling query sa paghahanap ay 'WhatsApp web,' at ang mga advertisement na ipinakita bilang mga nangungunang resulta ay humantong sa o nagpasimula ng mga chain ng pag-redirect sa mga nakakahamak na Web page. Kapansin-pansin, ang mga website na kilala sa pagpapakalat ng GoPIX ay gumagamit ng mga lehitimong tool upang i-filter ang kanilang mga bisita, na tinitiyak na mga tunay na user lamang ang makaka-access sa nilalaman habang pinipigilan ang mga bot. Ang mga mapanlinlang na page na ito ay ginawa upang maging katulad ng opisyal na website ng WhatsApp.
Mahalagang kilalanin na ang GoPIX ay maaari ding ipamahagi sa pamamagitan ng mga alternatibong pamamaraan. Ang mga diskarte sa phishing at social engineering ay karaniwang ginagamit sa paglaganap ng malware na ito. Ang mga karaniwang paraan ng pamamahagi ay sumasaklaw sa mga palihim na pag-download, ang pagsasama ng mga nakakahamak na attachment o link sa mga spam na mensahe (hal., mga email, pribadong mensahe, text message, atbp.), online na mga scam, malvertising, kahina-hinalang pinagmumulan ng pag-download (tulad ng freeware at libreng file. -mga platform sa pagho-host, mga network ng pagbabahagi ng peer-to-peer, atbp.), mga iligal na tool sa pag-crack ng software, at mga pekeng pag-update ng software.
