GoPIX-Malware

GoPIX ist eine Schadsoftware, die speziell auf die Instant-Payment-Plattform Pix abzielt. Im Wesentlichen fungiert diese Malware als Clipper mit dem Hauptzweck, über die Pix-Plattform getätigte Transaktionen umzuleiten. Darüber hinaus fungiert es als typischer Clipper, bei dem es auch auf Kryptowährungstransaktionen abzielt.

Dieses als GoPIX bekannte Schadprogramm ist seit mindestens Dezember 2022 im Umlauf. Da Pix ein von der brasilianischen Zentralbank (BCB) verwaltetes Zahlungssystem ist, besteht seine Nutzerbasis überwiegend aus brasilianischen Bürgern. Folglich konzentrieren sich die Aktivitäten von GoPIX hauptsächlich auf Brasilien.

Zum Zeitpunkt des Schreibens dieses Artikels werden GoPIX-Infektionen hauptsächlich von bösartigen Websites ausgelöst, die durch irreführende Werbung beworben werden, eine Technik, die als Malvertising bekannt ist, eine Form der Suchmaschinenvergiftung. Derzeit wird die Malware aus einer von zwei Quellen heruntergeladen, je nachdem, ob auf dem Gerät des Opfers Port 27275 geöffnet ist.

Dieser spezielle Port wird von einem sicheren Bankprodukt verwendet, das von einem Cybersicherheitsunternehmen entwickelt wurde. Wenn diese Software auf dem Zielgerät nicht vorhanden ist, wird ein NSIS-Installationspaket heruntergeladen, das PowerShell-Skripte enthält. Anschließend werden weitere Skripte heruntergeladen, wodurch der Infektionsprozess eingeleitet wird, der schließlich zu GoPIX führt. Wenn jedoch die legitime Software vorhanden ist, wird ein ZIP-Archiv heruntergeladen. In diesem Archiv befindet sich eine LNK-Datei, die ein PowerShell-Skript enthält, das dann den Infektionsprozess vorantreibt.

GoPIX überwacht die Zwischenablage für mehr als Pix

Wie bereits erwähnt, fungiert GoPIX als Clipper. Schadsoftware dieser Art erkennt den in die Zwischenablage kopierten Inhalt (Copy-Paste-Puffer) und ersetzt ihn durch andere Informationen. Im Fall von GoPIX wird gezielt nach Pix-Übertragungen gesucht. Wenn es eine Zahlungsanforderung identifiziert, ändert es die Daten und leitet die Transaktion effektiv an die Cyberkriminellen weiter. Insbesondere sind die Informationen des Angreifers nicht fest in der Malware verankert, sondern werden von einem Command and Control (C&C)-Server abgerufen, was für Flexibilität sorgt.

GoPIX dient auch als Clipper, der Kryptowährungs-Wallet-Adressen ersetzt, eine häufigere Art von Clipper. Allerdings sind die Bitcoin- und Ethereum-Wallet-Adressen im Gegensatz zu den Pix-Daten vordefiniert, was bei Letzteren mehr Flexibilität ermöglicht.