GoPIX マルウェア

GoPIX は、特に Pix インスタント支払いプラットフォームをターゲットとする悪意のあるソフトウェアです。基本的に、このマルウェアはクリッパーとして機能し、主な目的は Pix プラットフォームを通じて行われたトランザクションをリダイレクトすることです。さらに、より一般的なクリッパーとしても機能し、暗号通貨トランザクションもターゲットにします。

GoPIX として知られるこの悪意のあるプログラムは、少なくとも 2022 年 12 月から出回っています。Pix がブラジル中央銀行 (BCB) によって管理されている決済システムであることを考えると、そのユーザー ベースは主にブラジル国民で構成されています。したがって、GoPIX の活動は主にブラジル国内に集中しています。

この記事の執筆時点では、GoPIX の感染は主に、検索エンジン ポイズニングの一種であるマルバタイジングとして知られる手法である、欺瞞的な広告を通じて宣伝された悪意のある Web サイトから発生します。現在、マルウェアは、被害者のデバイスでポート 27275 が開いているかどうかに応じて、2 つのソースのいずれかからダウンロードされます。

この特定のポートは、サイバーセキュリティ会社が開発した安全なバンキング製品によって利用されます。このソフトウェアが対象のデバイスにない場合、PowerShell スクリプトを含む NSIS インストーラー パッケージがダウンロードされます。その後、さらに多くのスクリプトがダウンロードされ、最終的に GoPIX につながる感染プロセスが開始されます。ただし、正規のソフトウェアが存在する場合は、ZIP アーカイブがダウンロードされます。このアーカイブ内には、PowerShell スクリプトを含む LNK ファイルがあり、感染プロセスを進めます。

GoPIX は Pix を超えるクリップボードを監視します

前述したように、GoPIX はクリッパーとして機能します。このタイプのマルウェアは、クリップボード (コピー＆ペースト バッファ) にコピーされた内容を検出し、別の情報に置き換えます。 GoPIX の場合、特に Pix 転送をスキャンします。支払い要求を特定すると、データを改ざんし、事実上、取引をサイバー犯罪者にリダイレクトします。特に、攻撃者の情報はマルウェアにハードコーディングされず、コマンド アンド コントロール (C&C) サーバーから取得されるため、柔軟性が得られます。

GoPIX は、より一般的なタイプのクリッパーである、暗号通貨ウォレット アドレスを置き換えるクリッパーとしても機能します。ただし、Pix データとは異なり、ビットコインとイーサリアムのウォレット アドレスは事前に定義されているため、後者の方がより柔軟に対応できます。