GoPIX Kötü Amaçlı Yazılım
GoPIX, Pix anında ödeme platformunu tehlikeye atmak için özel olarak tasarlanmış tehdit edici bir yazılımdır. Temelde bu kötü amaçlı yazılım, Pix platformu aracılığıyla gerçekleştirilen işlemleri yeniden yönlendiren bir kesici işlevi görüyor. Ek olarak, geleneksel bir kesme makinesi gibi çalışarak kapsamını kripto para birimi işlemlerini de içerecek şekilde genişletiyor.
GoPIX en az Aralık 2022'den beri dolaşımda. Pix'in Brezilya Merkez Bankası (BCB) tarafından kurulan ve denetlenen bir ödeme platformu olduğu göz önüne alındığında, kullanıcı tabanı ağırlıklı olarak Brezilya vatandaşlarından oluşuyor. Sonuç olarak, GoPIX'in faaliyetleri öncelikle Brezilya bölgesiyle sınırlıdır.
GoPIX Kötü Amaçlı Yazılım Bulaşma Zinciri
GoPIX enfeksiyonları, genellikle arama motoru zehirlenmesinde kullanılan, kötü amaçlı reklamcılık olarak bilinen bir teknik olan aldatıcı reklamlar aracılığıyla tanıtılan tehdit edici web sitelerinden kaynaklanır. Şu anda kötü amaçlı yazılım, kurbanın cihazında 27275 numaralı bağlantı noktasının açık olup olmadığına bağlı olarak iki kaynaktan birinden ediniliyor.
Bu özel bağlantı noktası genellikle meşru ve güvenli bir bankacılık ürünüyle ilişkilendirilir. Hedeflenen sistemde bu yazılımın bulunmadığı durumlarda PowerShell komut dosyalarını ve ek bileşenleri içeren bir NSIS yükleyici paketi alınır. Bu, enfeksiyon zincirini başlatır ve sonuçta GoPIX'in konuşlandırılmasına yol açar. Bununla birlikte, belirli bir yazılım mevcutsa, LNK dosyasının enfeksiyon zincirini daha da ilerleten bir PowerShell betiğini içeren bir ZIP arşivi indirilir.
Daha önce de belirtildiği gibi GoPIX, kesme tipi bir kötü amaçlı yazılım olarak işlev görür. Bu kötü amaçlı yazılım kategorisi, panoya (kopyala-yapıştır arabelleği) kopyalanan içerikleri izler ve bunları farklı bilgilerle değiştirerek sonuçta yapıştırılanları değiştirir.
GoPIX söz konusu olduğunda, özellikle Pix aktarımlarını tarar. Bir ödeme talebi tespit ettiğinde verileri değiştirerek müdahale eder ve işlemi etkili bir şekilde siber suçlulara yönlendirir. Saldırganın kullandığı bilgilerin kötü amaçlı yazılımla doğrudan bağlantılı olmadığı, esnek olduğu ve bir Komuta ve Kontrol (C&C) sunucusundan alındığı dikkat çekiyor.
Ek olarak GoPIX, daha yaygın bir varyant olan kripto para birimi cüzdan adreslerini hedef alan bir kesici olarak çalışır. Ancak bu durumda, dinamik olarak manipüle edilen Pix verilerinin aksine Bitcoin ve Ethereum cüzdan adresleri önceden belirlenir.
GoPIX Kötü Amaçlı Yazılımı Sahte Reklamlar Yoluyla Yayılabilir
GoPIX'in, özellikle bir tür arama motoru optimizasyonu (SEO) zehirlenmesi içeren kötü amaçlı reklam kampanyaları yoluyla yayıldığı gözlemlendi. Bu taktik, bir arama motoruna belirli bir sorgu girildiğinde görünen en iyi arama sonuçlarının (genellikle reklamlar) manipüle edilmesini gerektirir. Bu değişen sonuçlar, kullanıcıları kötü amaçlı web sitelerine yönlendirir.
Bu durumlarda, seçilen arama sorgusu 'WhatsApp web'di ve en iyi sonuçlar olarak sunulan reklamlar, kötü amaçlı Web sayfalarına yönlendirme zincirlerine yol açtı veya bunları başlattı. Özellikle, GoPIX'i yaymasıyla bilinen web siteleri, ziyaretçilerini filtrelemek için meşru araçlar kullandı ve botları engellerken yalnızca gerçek kullanıcıların içeriğe erişmesini sağladı. Bu aldatıcı sayfalar resmi WhatsApp web sitesine benzeyecek şekilde tasarlandı.
GoPIX'in alternatif yöntemlerle de dağıtılabileceğini kabul etmek önemlidir. Bu kötü amaçlı yazılımın yayılmasında kimlik avı ve sosyal mühendislik teknikleri yaygın olarak kullanılmaktadır. Tipik dağıtım yolları, gizli indirmeleri, spam mesajlarına kötü amaçlı eklerin veya bağlantıların eklenmesini (örneğin, e-postalar, özel mesajlar, kısa mesajlar vb.), çevrimiçi dolandırıcılıkları, kötü amaçlı reklamları, şüpheli indirme kaynaklarını (ücretsiz yazılım ve ücretsiz dosya gibi) kapsar. -barındırma platformları, eşler arası paylaşım ağları vb.), yasa dışı yazılım kırma araçları ve sahte yazılım güncelleme istemleri.
