Κακόβουλο λογισμικό GoPIX

Το GoPIX είναι ένα κακόβουλο λογισμικό που στοχεύει συγκεκριμένα την πλατφόρμα άμεσων πληρωμών Pix. Ουσιαστικά, αυτό το κακόβουλο λογισμικό λειτουργεί ως περικοπτικό, με πρωταρχικό σκοπό την ανακατεύθυνση των συναλλαγών που πραγματοποιούνται μέσω της πλατφόρμας Pix. Επιπλέον, λειτουργεί ως πιο τυπικό clipper, όπου στοχεύει επίσης συναλλαγές κρυπτονομισμάτων.

Αυτό το κακόβουλο πρόγραμμα, γνωστό ως GoPIX, κυκλοφορεί τουλάχιστον από τον Δεκέμβριο του 2022. Δεδομένου ότι το Pix είναι ένα σύστημα πληρωμών που διαχειρίζεται η Κεντρική Τράπεζα της Βραζιλίας (BCB), η βάση χρηστών του αποτελείται κυρίως από πολίτες της Βραζιλίας. Κατά συνέπεια, οι δραστηριότητες της GoPIX συγκεντρώνονται κυρίως στη Βραζιλία.

Τη στιγμή που γράφεται αυτό το άρθρο, οι μολύνσεις GoPIX ξεκινούν κυρίως από κακόβουλους ιστότοπους που προωθούνται μέσω παραπλανητικών διαφημίσεων, μια τεχνική γνωστή ως κακόβουλη διαφήμιση, μια μορφή δηλητηρίασης στις μηχανές αναζήτησης. Επί του παρόντος, το κακόβουλο λογισμικό κατεβάζεται από μία από τις δύο πηγές, ανάλογα με το αν η συσκευή του θύματος έχει ανοιχτή τη θύρα 27275.

Το συγκεκριμένο λιμάνι χρησιμοποιείται από ένα ασφαλές τραπεζικό προϊόν που αναπτύχθηκε από εταιρεία κυβερνοασφάλειας. Όταν αυτό το λογισμικό απουσιάζει από τη στοχευμένη συσκευή, γίνεται λήψη ενός πακέτου προγράμματος εγκατάστασης NSIS, το οποίο περιλαμβάνει σενάρια PowerShell. Στη συνέχεια γίνεται λήψη περισσότερων σεναρίων, ξεκινώντας τη διαδικασία μόλυνσης που τελικά οδηγεί στο GoPIX. Ωστόσο, εάν υπάρχει το νόμιμο λογισμικό, γίνεται λήψη ενός αρχείου ZIP. Μέσα σε αυτό το αρχείο υπάρχει ένα αρχείο LNK που περιέχει ένα σενάριο PowerShell, το οποίο στη συνέχεια προωθεί τη διαδικασία μόλυνσης.

Το GoPIX Monitors Clipboard για περισσότερα από Pix

Όπως αναφέρθηκε προηγουμένως, το GoPIX λειτουργεί ως κουρευτική μηχανή. Κακόβουλο λογισμικό αυτού του τύπου εντοπίζει το περιεχόμενο που αντιγράφεται στο πρόχειρο (buffer αντιγραφής-επικόλλησης) και το αντικαθιστά με διαφορετικές πληροφορίες. Στην περίπτωση του GoPIX, σαρώνει ειδικά για μεταφορές Pix. Όταν προσδιορίζει ένα αίτημα πληρωμής, αλλάζει τα δεδομένα, ανακατευθύνοντας ουσιαστικά τη συναλλαγή στους εγκληματίες του κυβερνοχώρου. Συγκεκριμένα, οι πληροφορίες του εισβολέα δεν είναι κωδικοποιημένες στο κακόβουλο λογισμικό, αλλά ανακτώνται από έναν διακομιστή Command and Control (C&C), παρέχοντας ευελιξία.

Το GoPIX χρησιμεύει επίσης ως κουρευτής που αντικαθιστά τις διευθύνσεις πορτοφολιού κρυπτονομισμάτων, που είναι ένας πιο κοινός τύπος κουρευτικής μηχανής. Ωστόσο, οι διευθύνσεις πορτοφολιού Bitcoin και Ethereum είναι προκαθορισμένες, σε αντίθεση με τα δεδομένα Pix, τα οποία επιτρέπουν μεγαλύτερη ευελιξία στα τελευταία.