GoPIX rosszindulatú program

A GoPIX egy rosszindulatú szoftver, amely kifejezetten a Pix azonnali fizetési platformot célozza meg. Ez a rosszindulatú program lényegében vágóként funkcionál, és elsődleges célja a Pix platformon keresztül végrehajtott tranzakciók átirányítása. Emellett tipikusabb klipperként is funkcionál, ahol a kriptovaluta tranzakciókat is megcélozza.

Ez a GoPIX néven ismert rosszindulatú program legalább 2022 decembere óta forgalomban van. Mivel a Pix a Brazil Központi Bank (BCB) által kezelt fizetési rendszer, felhasználói bázisa túlnyomórészt brazil állampolgárokból áll. Következésképpen a GoPIX tevékenysége elsősorban Brazíliára összpontosul.

E cikk írásakor a GoPIX fertőzéseket elsősorban a megtévesztő hirdetések által népszerűsített rosszindulatú webhelyek okozzák. Ez a technika a malvertising, a keresőmotor-mérgezés egy formája. Jelenleg a kártevőt két forrás egyikéből töltik le, attól függően, hogy az áldozat eszközén nyitva van-e a 27275-ös port.

Ezt a portot egy kiberbiztonsági vállalat által kifejlesztett biztonságos banki termék használja. Ha ez a szoftver hiányzik a megcélzott eszközről, a rendszer letölt egy NSIS telepítőcsomagot, amely PowerShell-szkripteket tartalmaz. Ezt követően további szkriptek töltődnek le, elindítva a fertőzési folyamatot, amely végül a GoPIX-hez vezet. Ha azonban a legális szoftver jelen van, a rendszer letölt egy ZIP-archívumot. Ebben az archívumban van egy LNK-fájl, amely egy PowerShell-szkriptet tartalmaz, amely aztán előmozdítja a fertőzési folyamatot.

A GoPIX a vágólapot több mint pixért figyeli

Mint korábban említettük, a GoPIX vágóként működik. Az ilyen típusú rosszindulatú programok észlelik a vágólapra másolt tartalmat (másolás-beillesztés puffer), és más információkkal helyettesítik. GoPIX esetén kifejezetten Pix átvitelt keres. Amikor fizetési kérelmet azonosít, megváltoztatja az adatokat, és gyakorlatilag átirányítja a tranzakciót a kiberbűnözőkhöz. Figyelemre méltó, hogy a támadó információit nem kódolják be a rosszindulatú programba, hanem egy Command and Control (C&C) szerverről kérik le, ami rugalmasságot biztosít.

A GoPIX vágóként is szolgál, amely felváltja a kriptovaluta pénztárca címeit, ami egy elterjedtebb típusú nyíró. A Bitcoin és az Ethereum pénztárca címei azonban előre meghatározottak, ellentétben a Pix adatokkal, amelyek nagyobb rugalmasságot tesznek lehetővé az utóbbiban.