Phần mềm độc hại GoPIX
GoPIX đang đe dọa phần mềm được thiết kế đặc biệt để xâm phạm nền tảng thanh toán tức thời Pix. Về bản chất, phần mềm độc hại này hoạt động như một công cụ cắt, chuyển hướng các giao dịch được thực hiện thông qua nền tảng Pix. Ngoài ra, nó hoạt động như một công cụ cắt thông thường, mở rộng phạm vi của nó để bao gồm các giao dịch tiền điện tử.
GoPIX đã được lưu hành ít nhất từ tháng 12 năm 2022. Do Pix là một nền tảng thanh toán do Ngân hàng Trung ương Brazil (BCB) thiết lập và giám sát nên cơ sở người dùng của nó chủ yếu bao gồm các công dân Brazil. Do đó, các hoạt động của GoPIX chủ yếu giới hạn ở Brazil.
Chuỗi lây nhiễm phần mềm độc hại GoPIX
Sự lây nhiễm GoPIX bắt nguồn từ các trang web đe dọa được quảng bá thông qua các quảng cáo lừa đảo, một kỹ thuật được gọi là quảng cáo độc hại, thường được sử dụng để đầu độc công cụ tìm kiếm. Hiện tại, phần mềm độc hại được lấy từ một trong hai nguồn, việc lựa chọn tùy thuộc vào việc thiết bị của nạn nhân có mở cổng 27275 hay không.
Cổng cụ thể này thường được liên kết với một sản phẩm ngân hàng hợp pháp và an toàn. Trong trường hợp phần mềm này không có trên hệ thống mục tiêu, gói cài đặt NSIS sẽ được truy xuất, chứa tập lệnh PowerShell và các thành phần bổ sung. Điều này bắt đầu chuỗi lây nhiễm, cuối cùng dẫn đến việc triển khai GoPIX. Tuy nhiên, nếu có phần mềm cụ thể, một kho lưu trữ ZIP sẽ được tải xuống, trong đó tệp LNK chứa tập lệnh PowerShell để đẩy mạnh hơn nữa chuỗi lây nhiễm.
Như đã đề cập trước đó, GoPIX hoạt động như một phần mềm độc hại loại clipper. Loại phần mềm độc hại này giám sát nội dung được sao chép vào bảng tạm (bộ đệm sao chép-dán) và thay thế nó bằng thông tin khác, cuối cùng thay đổi nội dung được dán.
Trong trường hợp của GoPIX, nó đặc biệt quét các lần chuyển Pix. Khi phát hiện yêu cầu thanh toán, nó sẽ can thiệp bằng cách thay thế dữ liệu, chuyển hướng giao dịch sang tội phạm mạng một cách hiệu quả. Đáng chú ý, thông tin mà kẻ tấn công sử dụng không được gắn vào phần mềm độc hại mà linh hoạt và được lấy từ máy chủ Lệnh và Kiểm soát (C&C).
Ngoài ra, GoPIX hoạt động như một công cụ cắt nhắm mục tiêu vào các địa chỉ ví tiền điện tử, một biến thể phổ biến hơn. Tuy nhiên, trong trường hợp này, địa chỉ ví Bitcoin và Ethereum được xác định trước, trái ngược với dữ liệu Pix được xử lý linh hoạt.
Phần mềm độc hại GoPIX có thể lây lan thông qua các quảng cáo lừa đảo
GoPIX đã được quan sát thấy lan truyền thông qua các chiến dịch quảng cáo độc hại, đặc biệt liên quan đến một hình thức đầu độc tối ưu hóa công cụ tìm kiếm (SEO). Chiến thuật này đòi hỏi phải thao túng các kết quả tìm kiếm hàng đầu, thường là quảng cáo, xuất hiện khi một truy vấn cụ thể được nhập vào công cụ tìm kiếm. Những kết quả bị thay đổi này chuyển hướng người dùng đến các trang web độc hại.
Trong những trường hợp này, truy vấn tìm kiếm được chọn là 'web WhatsApp' và các quảng cáo được hiển thị dưới dạng kết quả hàng đầu đã dẫn đến hoặc bắt đầu chuỗi chuyển hướng đến các trang Web độc hại. Đáng chú ý, các trang web phổ biến GoPIX đã sử dụng các công cụ hợp pháp để lọc khách truy cập, đảm bảo chỉ những người dùng chân chính mới có thể truy cập nội dung trong khi ngăn chặn các bot. Những trang lừa đảo này được tạo ra để giống với trang web chính thức của WhatsApp.
Cần phải thừa nhận rằng GoPIX cũng có thể được phân phối thông qua các phương pháp thay thế. Các kỹ thuật lừa đảo và kỹ thuật xã hội thường được sử dụng để phát tán phần mềm độc hại này. Các con đường phân phối điển hình bao gồm các bản tải xuống lén lút, bao gồm các tệp đính kèm hoặc liên kết độc hại trong tin nhắn rác (ví dụ: email, tin nhắn riêng tư, tin nhắn văn bản, v.v.), lừa đảo trực tuyến, quảng cáo độc hại, các nguồn tải xuống đáng ngờ (chẳng hạn như phần mềm miễn phí và tệp miễn phí). -nền tảng lưu trữ, mạng chia sẻ ngang hàng, v.v.), các công cụ bẻ khóa phần mềm bất hợp pháp và lời nhắc cập nhật phần mềm giả mạo.
