GoPIX 惡意軟體

GoPIX 正在威脅專門設計用於破壞 Pix 即時支付平台的軟體。從本質上講，該惡意軟體的功能就像一個剪輯器，重定向透過 Pix 平台進行的交易。此外，它作為傳統的限幅器運行，將其範圍擴展到包括加密貨幣交易。

GoPIX 至少自 2022 年 12 月起就開始流通。鑑於 Pix 是由巴西中央銀行 (BCB) 建立和監管的支付平台，其用戶群主要由巴西公民組成。因此，GoPIX 的活動主要局限於巴西境內。

GoPIX 惡意軟體感染鏈

GoPIX 感染源自於透過欺騙性廣告宣傳的威脅網站，這種技術稱為惡意廣告，通常用於搜尋引擎中毒。目前，該惡意軟體是從兩個來源之一獲取的，具體選擇取決於受害者的裝置是否開啟連接埠 27275。

該特定連接埠通常與合法且安全的銀行產品相關聯。如果目標系統上不存在該軟體，則會擷取 NSIS 安裝程式包，其中包含 PowerShell 腳本和其他元件。這啟動了感染鏈，最終導致 GoPIX 的部署。但是，如果存在特定軟體，則會下載 ZIP 存檔，其中 LNK 檔案包含進一步推動感染鏈的 PowerShell 腳本。

如前所述，GoPIX 是一種 Clipper 型惡意軟體。此類惡意軟體監視複製到剪貼簿（複製貼上緩衝區）的內容，並用不同的資訊取代它，最終改變貼上的內容。

對於 GoPIX，它專門掃描 Pix 傳輸。當它偵測到支付請求時，它會透過替換資料進行幹預，有效地將交易重定向給網路犯罪分子。值得注意的是，攻擊者使用的資訊並未硬連接到惡意軟體中，而是靈活地從命令和控制 (C&C) 伺服器檢索。

此外，GoPIX 作為一個針對加密貨幣錢包位址的限幅器，這是一種更常見的變體。然而，在這種情況下，比特幣和以太坊錢包地址是預先確定的，而 Pix 數據是動態操縱的。

GoPIX 惡意軟體可能透過詐騙廣告傳播

據觀察，GoPIX 透過惡意廣告活動進行傳播，特別是涉及某種形式的搜尋引擎優化 (SEO) 中毒。這種策略需要操縱在搜尋引擎中輸入特定查詢時出現的熱門搜尋結果（通常是廣告）。這些改變的結果將使用者重新導向到惡意網站。

在這些情況下，選擇的搜尋查詢是“WhatsApp web”，並且作為頂部結果呈現的廣告導致或發起了到惡意網頁的重定向鏈。值得注意的是，以傳播 GoPIX 聞名的網站使用合法工具來過濾訪客，確保只有真正的用戶才能存取內容，同時阻止機器人。這些欺騙性頁面的設計類似於 WhatsApp 官方網站。

必須承認的是，GoPIX 也可以透過其他方法進行分發。這種惡意軟體的擴散通常利用網路釣魚和社會工程技術。典型的分發途徑包括秘密偷渡式下載、垃圾郵件中包含惡意附件或連結（例如電子郵件、私人訊息、簡訊等）、線上詐騙、惡意廣告、可疑下載來源（例如免費軟體和免費文件） - 託管平台、點對點共享網路等）、非法軟體破解工具、虛假軟體更新提示。