Шкідливе програмне забезпечення GoPIX

GoPIX погрожує програмному забезпеченню, спеціально розробленому для компрометації платформи миттєвих платежів Pix. По суті, це зловмисне програмне забезпечення функціонує як кліпер, перенаправляючи транзакції, що проводяться через платформу Pix. Крім того, він працює як звичайний кліпер, розширюючи його сферу застосування, включаючи транзакції з криптовалютою.

GoPIX знаходиться в обігу принаймні з грудня 2022 року. З огляду на те, що Pix є платіжною платформою, створеною та контрольованою Центральним банком Бразилії (BCB), її база користувачів складається переважно з громадян Бразилії. Отже, діяльність GoPIX в основному обмежується бразильським ландшафтом.

Ланцюжок зараження зловмисним програмним забезпеченням GoPIX

Зараження GoPIX походить із загрозливих веб-сайтів, які рекламуються за допомогою оманливої реклами, методу, відомого як шкідлива реклама, який часто використовують для отруєння пошукових систем. Наразі зловмисне програмне забезпечення отримується з одного з двох джерел, вибір залежить від того, чи відкритий на пристрої жертви порт 27275.

Цей конкретний порт зазвичай асоціюється з законним і безпечним банківським продуктом. У випадках, коли це програмне забезпечення відсутнє в цільовій системі, витягується пакет інсталятора NSIS, який містить сценарії PowerShell і додаткові компоненти. Це ініціює ланцюжок зараження, що зрештою призводить до розгортання GoPIX. Однак, якщо певне програмне забезпечення присутнє, завантажується ZIP-архів, у якому файл LNK містить сценарій PowerShell, який далі просуває ланцюжок зараження.

Як згадувалося раніше, GoPIX функціонує як шкідливе програмне забезпечення типу кліпера. Ця категорія зловмисного програмного забезпечення відстежує вміст, скопійований у буфер обміну (буфер копіювання та вставлення), і замінює його іншою інформацією, остаточно змінюючи вставлене.

У випадку GoPIX він спеціально сканує передачі Pix. Коли він виявляє запит на платіж, він втручається, замінюючи дані, фактично перенаправляючи транзакцію кіберзлочинцям. Примітно, що інформація, яку використовує зловмисник, не закріплена у зловмисному програмному забезпеченні, але є гнучкою та отримується з сервера командування та керування (C&C).

Крім того, GoPIX працює як кліпер, націлений на адреси гаманців криптовалюти, що є більш поширеним варіантом. Однак у цьому випадку адреси гаманців Bitcoin і Ethereum заздалегідь визначені, на відміну від даних Pix, якими маніпулюють динамічно.

Зловмисне програмне забезпечення GoPIX може поширюватися через шахрайську рекламу

Було помічено, що GoPIX поширюється через кампанії зловмисної реклами, зокрема залучаючи форму отруєння пошуковою оптимізацією (SEO). Ця тактика передбачає маніпулювання найпопулярнішими результатами пошуку, як правило, оголошеннями, які з’являються, коли в пошукову систему вводиться певний запит. Ці змінені результати перенаправляють користувачів на шкідливі веб-сайти.

У цих випадках вибраним пошуковим запитом був «WhatsApp web», а рекламні оголошення, представлені як найпопулярніші результати, призводили або ініціювали ланцюжки перенаправлення на шкідливі веб-сторінки. Примітно, що веб-сайти, відомі розповсюдженням GoPIX, використовували законні інструменти для фільтрації своїх відвідувачів, забезпечуючи лише справжнім користувачам доступ до вмісту та перешкоджаючи роботам. Ці оманливі сторінки були створені так, щоб нагадувати офіційний веб-сайт WhatsApp.

Важливо визнати, що GoPIX також можна поширювати альтернативними методами. Фішинг і методи соціальної інженерії зазвичай використовуються для розповсюдження цього шкідливого програмного забезпечення. Типові шляхи розповсюдження охоплюють приховані завантаження, включення шкідливих вкладень або посилань у спам-повідомлення (наприклад, електронні листи, приватні повідомлення, текстові повідомлення тощо), онлайн-шахрайство, шкідливу рекламу, підозрілі джерела завантажень (наприклад, безкоштовні програми та безкоштовні файли). -платформи хостингу, однорангові мережі обміну тощо), нелегальні засоби злому програмного забезпечення та підроблені підказки щодо оновлення програмного забезпечення.