GoPIX 恶意软件

GoPIX 正在威胁专门设计用于破坏 Pix 即时支付平台的软件。从本质上讲，该恶意软件的功能就像一个剪辑器，重定向通过 Pix 平台进行的交易。此外，它作为传统的限幅器运行，将其范围扩展到包括加密货币交易。

GoPIX 至少自 2022 年 12 月起就开始流通。鉴于 Pix 是由巴西中央银行 (BCB) 建立和监管的支付平台，其用户群主要由巴西公民组成。因此，GoPIX 的活动主要局限于巴西境内。

GoPIX 恶意软件感染链

GoPIX 感染源自通过欺骗性广告宣传的威胁网站，这种技术称为恶意广告，通常用于搜索引擎中毒。目前，该恶意软件是从两个来源之一获取的，具体选择取决于受害者的设备是否打开端口 27275。

该特定端口通常与合法且安全的银行产品相关联。如果目标系统上不存在该软件，则会检索 NSIS 安装程序包，其中包含 PowerShell 脚本和其他组件。这启动了感染链，最终导致 GoPIX 的部署。但是，如果存在特定软件，则会下载 ZIP 存档，其中 LNK 文件包含进一步推动感染链的 PowerShell 脚本。

如前所述，GoPIX 是一种 Clipper 型恶意软件。此类恶意软件监视复制到剪贴板（复制粘贴缓冲区）的内容，并用不同的信息替换它，最终改变粘贴的内容。

对于 GoPIX，它专门扫描 Pix 传输。当它检测到支付请求时，它会通过替换数据进行干预，有效地将交易重定向给网络犯罪分子。值得注意的是，攻击者使用的信息并未硬连接到恶意软件中，而是灵活地从命令和控制 (C&C) 服务器检索。

此外，GoPIX 作为一个针对加密货币钱包地址的限幅器，这是一种更常见的变体。然而，在这种情况下，比特币和以太坊钱包地址是预先确定的，而 Pix 数据是动态操纵的。

GoPIX 恶意软件可能通过欺诈广告传播

据观察，GoPIX 通过恶意广告活动进行传播，特别是涉及某种形式的搜索引擎优化 (SEO) 中毒。这种策略需要操纵在搜索引擎中输入特定查询时出现的热门搜索结果（通常是广告）。这些改变的结果将用户重定向到恶意网站。

在这些情况下，选择的搜索查询是“WhatsApp web”，并且作为顶部结果呈现的广告导致或启动了到恶意网页的重定向链。值得注意的是，以传播 GoPIX 闻名的网站使用合法工具来过滤其访问者，确保只有真正的用户才能访问内容，同时阻止机器人。这些欺骗性页面的设计类似于 WhatsApp 官方网站。

必须承认的是，GoPIX 也可以通过其他方法进行分发。这种恶意软件的扩散通常利用网络钓鱼和社会工程技术。典型的分发途径包括秘密偷渡式下载、垃圾邮件中包含恶意附件或链接（例如电子邮件、私人消息、短信等）、在线诈骗、恶意广告、可疑下载源（例如免费软件和免费文件） - 托管平台、点对点共享网络等）、非法软件破解工具、虚假软件更新提示。