Logiciel malveillant GoPIX

GoPIX est un logiciel malveillant qui cible spécifiquement la plateforme de paiement instantané Pix. Essentiellement, ce malware fonctionne comme un clipper, dont le but principal est de rediriger les transactions effectuées via la plateforme Pix. De plus, il fonctionne comme un clipper plus typique, où il cible également les transactions de crypto-monnaie.

Ce programme malveillant, connu sous le nom de GoPIX, est en circulation depuis au moins décembre 2022. Étant donné que Pix est un système de paiement géré par la Banque centrale du Brésil (BCB), sa base d'utilisateurs est majoritairement composée de citoyens brésiliens. Par conséquent, les activités de GoPIX sont principalement concentrées au Brésil.

Au moment d'écrire ces lignes, les infections GoPIX sont principalement initiées à partir de sites Web malveillants promus via des publicités trompeuses, une technique connue sous le nom de publicité malveillante, une forme d'empoisonnement des moteurs de recherche. Actuellement, le logiciel malveillant est téléchargé à partir de l'une des deux sources suivantes, selon que le port 27275 est ouvert ou non sur l'appareil de la victime.

Ce port particulier est utilisé par un produit bancaire sécurisé développé par une société de cybersécurité. Lorsque ce logiciel est absent de l'appareil ciblé, un package d'installation NSIS est téléchargé, qui comprend des scripts PowerShell. D'autres scripts sont ensuite téléchargés, déclenchant le processus d'infection qui mène finalement à GoPIX. Cependant, si le logiciel légitime est présent, une archive ZIP est téléchargée. À l’intérieur de cette archive se trouve un fichier LNK contenant un script PowerShell, qui fait ensuite progresser le processus d’infection.

GoPIX surveille le presse-papiers pour plus de Pix

Comme mentionné précédemment, GoPIX fonctionne comme un clipper. Les malwares de ce type détectent le contenu copié dans le presse-papiers (tampon copier-coller) et le remplacent par des informations différentes. Dans le cas de GoPIX, il recherche spécifiquement les transferts Pix. Lorsqu'il identifie une demande de paiement, il modifie les données, redirigeant ainsi la transaction vers les cybercriminels. Notamment, les informations de l'attaquant ne sont pas codées en dur dans le malware mais sont récupérées à partir d'un serveur de commande et de contrôle (C&C), offrant ainsi une flexibilité.

GoPIX sert également de clipper qui remplace les adresses de portefeuille de crypto-monnaie, qui est un type de clipper plus courant. Cependant, les adresses des portefeuilles Bitcoin et Ethereum sont prédéfinies, contrairement aux données Pix, ce qui permet plus de flexibilité dans ces dernières.