GoPIX rosszindulatú program

foudre malware

A GoPIX egy rosszindulatú szoftver, amely kifejezetten a Pix azonnali fizetési platformot célozza meg. Ez a rosszindulatú program lényegében vágóként funkcionál, és elsődleges célja a Pix platformon keresztül végrehajtott tranzakciók átirányítása. Emellett tipikusabb klipperként is funkcionál, ahol a kriptovaluta tranzakciókat is megcélozza.

Ez a GoPIX néven ismert rosszindulatú program legalább 2022 decembere óta forgalomban van. Mivel a Pix a Brazil Központi Bank (BCB) által kezelt fizetési rendszer, felhasználói bázisa túlnyomórészt brazil állampolgárokból áll. Következésképpen a GoPIX tevékenysége elsősorban Brazíliára összpontosul.

E cikk írásakor a GoPIX fertőzéseket elsősorban a megtévesztő hirdetések által népszerűsített rosszindulatú webhelyek okozzák. Ez a technika a malvertising, a keresőmotor-mérgezés egy formája. Jelenleg a kártevőt két forrás egyikéből töltik le, attól függően, hogy az áldozat eszközén nyitva van-e a 27275-ös port.

Ezt a portot egy kiberbiztonsági vállalat által kifejlesztett biztonságos banki termék használja. Ha ez a szoftver hiányzik a megcélzott eszközről, a rendszer letölt egy NSIS telepítőcsomagot, amely PowerShell-szkripteket tartalmaz. Ezt követően további szkriptek töltődnek le, elindítva a fertőzési folyamatot, amely végül a GoPIX-hez vezet. Ha azonban a legális szoftver jelen van, a rendszer letölt egy ZIP-archívumot. Ebben az archívumban van egy LNK-fájl, amely egy PowerShell-szkriptet tartalmaz, amely aztán előmozdítja a fertőzési folyamatot.

A GoPIX a vágólapot több mint pixért figyeli

Mint korábban említettük, a GoPIX vágóként működik. Az ilyen típusú rosszindulatú programok észlelik a vágólapra másolt tartalmat (másolás-beillesztés puffer), és más információkkal helyettesítik. GoPIX esetén kifejezetten Pix átvitelt keres. Amikor fizetési kérelmet azonosít, megváltoztatja az adatokat, és gyakorlatilag átirányítja a tranzakciót a kiberbűnözőkhöz. Figyelemre méltó, hogy a támadó információit nem kódolják be a rosszindulatú programba, hanem egy Command and Control (C&C) szerverről kérik le, ami rugalmasságot biztosít.

A GoPIX vágóként is szolgál, amely felváltja a kriptovaluta pénztárca címeit, ami egy elterjedtebb típusú nyíró. A Bitcoin és az Ethereum pénztárca címei azonban előre meghatározottak, ellentétben a Pix adatokkal, amelyek nagyobb rugalmasságot tesznek lehetővé az utóbbiban.

October 27, 2023
Betöltés...

Cyclonis Password Manager Details & Terms

FREE Trial: 30-Day One-Time Offer! No credit card required for Free Trial. Full functionality for the length of the Free Trial. (Full functionality after Free Trial requires subscription purchase.) To learn more about our policies and pricing, see EULA, Privacy Policy, Discount Terms and Purchase Page. If you wish to uninstall the app, please visit the Uninstallation Instructions page.