Malware GoPIX
GoPIX è un software dannoso che prende di mira specificamente la piattaforma di pagamento istantaneo Pix. Essenzialmente, questo malware funziona come un clipper, con lo scopo principale di reindirizzare le transazioni effettuate tramite la piattaforma Pix. Inoltre, funziona come un clipper più tipico, in cui prende di mira anche le transazioni di criptovaluta.
Questo programma dannoso, noto come GoPIX, è in circolazione almeno dal dicembre 2022. Dato che Pix è un sistema di pagamento gestito dalla Banca Centrale del Brasile (BCB), la sua base di utenti è composta prevalentemente da cittadini brasiliani. Di conseguenza, le attività di GoPIX sono concentrate principalmente in Brasile.
Al momento in cui scrivo, le infezioni GoPIX vengono avviate principalmente da siti Web dannosi promossi tramite pubblicità ingannevoli, una tecnica nota come malvertising, una forma di avvelenamento dei motori di ricerca. Attualmente il malware viene scaricato da una delle due fonti, a seconda che sul dispositivo della vittima sia aperta o meno la porta 27275.
Questa particolare porta è utilizzata da un prodotto bancario sicuro sviluppato da una società di sicurezza informatica. Quando questo software è assente dal dispositivo di destinazione, viene scaricato un pacchetto di installazione NSIS che include gli script PowerShell. Successivamente vengono scaricati ulteriori script, avviando il processo di infezione che alla fine porta a GoPIX. Tuttavia, se è presente il software legittimo, viene scaricato un archivio ZIP. All'interno di questo archivio è presente un file LNK che contiene uno script PowerShell, che poi fa avanzare il processo di infezione.
GoPIX monitora gli appunti per più di Pix
Come accennato in precedenza, GoPIX funziona come un clipper. I malware di questo tipo rilevano il contenuto copiato negli appunti (buffer copia-incolla) e lo sostituiscono con informazioni diverse. Nel caso di GoPIX, esegue la scansione specifica dei trasferimenti Pix. Quando identifica una richiesta di pagamento, altera i dati, reindirizzando di fatto la transazione ai criminali informatici. In particolare, le informazioni dell'aggressore non sono codificate nel malware ma vengono recuperate da un server di comando e controllo (C&C), garantendo flessibilità.
GoPIX funge anche da clipper che sostituisce gli indirizzi dei portafogli di criptovaluta, che è un tipo di clipper più comune. Tuttavia, gli indirizzi dei portafogli Bitcoin ed Ethereum sono predefiniti, a differenza dei dati Pix, che consentono una maggiore flessibilità in questi ultimi.
