GoPIX Malware

GoPIX er en ondsindet software, der specifikt retter sig mod Pix-platformen for øjeblikkelig betaling. Grundlæggende fungerer denne malware som en klipper med det primære formål at omdirigere transaktioner foretaget via Pix-platformen. Derudover fungerer den som en mere typisk klipper, hvor den også retter sig mod kryptovalutatransaktioner.

Dette ondsindede program, kendt som GoPIX, har været i omløb siden mindst december 2022. Da Pix er et betalingssystem, der administreres af Brasiliens centralbank (BCB), består dets brugerbase overvejende af brasilianske borgere. Derfor er GoPIX's aktiviteter primært koncentreret i Brasilien.

På tidspunktet for denne skrivning er GoPIX-infektioner primært initieret fra ondsindede websteder, der promoveres gennem vildledende reklamer, en teknik kendt som malvertising, en form for søgemaskineforgiftning. I øjeblikket downloades malwaren fra en af to kilder, afhængigt af om ofrets enhed har port 27275 åben.

Denne særlige havn bruges af et sikkert bankprodukt udviklet af et cybersikkerhedsfirma. Når denne software er fraværende fra den målrettede enhed, downloades en NSIS-installationspakke, som inkluderer PowerShell-scripts. Flere scripts downloades efterfølgende, hvilket starter infektionsprocessen, der til sidst fører til GoPIX. Men hvis den legitime software er til stede, downloades et ZIP-arkiv. Inde i dette arkiv er en LNK-fil, der indeholder et PowerShell-script, som derefter fremmer infektionsprocessen.

GoPIX-skærme udklipsholder til mere end Pix

Som tidligere nævnt fungerer GoPIX som en klipper. Malware af denne type registrerer indholdet, der er kopieret til udklipsholderen (copy-paste buffer) og erstatter det med anden information. I tilfælde af GoPIX scanner den specifikt for Pix-overførsler. Når den identificerer en betalingsanmodning, ændrer den dataene, hvilket effektivt omdirigerer transaktionen til cyberkriminelle. Navnlig er angriberens oplysninger ikke hårdkodet i malwaren, men hentes fra en Command and Control (C&C) server, hvilket giver fleksibilitet.

GoPIX fungerer også som en clipper, der erstatter cryptocurrency wallet-adresser, som er en mere almindelig type clipper. Dog er Bitcoin- og Ethereum-wallet-adresserne foruddefinerede, i modsætning til Pix-dataene, som giver mulighed for mere fleksibilitet i sidstnævnte.