GoPIX kenkėjiška programa
„GoPIX“ yra kenkėjiška programinė įranga, skirta „Pix“ momentinių mokėjimų platformai. Iš esmės ši kenkėjiška programa veikia kaip kirpimo priemonė, kurios pagrindinis tikslas yra peradresuoti per Pix platformą atliktas operacijas. Be to, ji veikia kaip tipiškesnė kirpimo mašinėlė, kur ji taip pat skirta kriptovaliutų operacijoms.
Ši kenkėjiška programa, žinoma kaip GoPIX, cirkuliuoja mažiausiai nuo 2022 m. gruodžio mėn. Atsižvelgiant į tai, kad „Pix“ yra Brazilijos centrinio banko (BCB) valdoma mokėjimo sistema, jos vartotojų bazę daugiausia sudaro Brazilijos piliečiai. Todėl GoPIX veikla daugiausia sutelkta Brazilijoje.
Šio rašymo metu „GoPIX“ infekcijos pirmiausia kyla iš kenkėjiškų svetainių, reklamuojamų per apgaulingus skelbimus, o tai vadinama netinkamu reklamavimu, paieškos sistemų apsinuodijimu. Šiuo metu kenkėjiška programa atsisiunčiama iš vieno iš dviejų šaltinių, atsižvelgiant į tai, ar aukos įrenginyje yra atidarytas 27275 prievadas.
Šį konkretų prievadą naudoja saugus bankininkystės produktas, kurį sukūrė kibernetinio saugumo įmonė. Kai šios programinės įrangos nėra tiksliniame įrenginyje, atsisiunčiamas NSIS diegimo programos paketas, kuriame yra PowerShell scenarijų. Vėliau atsisiunčiama daugiau scenarijų, inicijuojant užkrėtimo procesą, kuris galiausiai veda į GoPIX. Tačiau jei yra teisėta programinė įranga, atsisiunčiamas ZIP archyvas. Šiame archyve yra LNK failas, kuriame yra PowerShell scenarijus, kuris paspartina infekcijos procesą.
„GoPIX“ stebi iškarpinę daugiau nei piksams
Kaip minėta anksčiau, GoPIX veikia kaip kirpimo mašinėlė. Šio tipo kenkėjiška programa aptinka turinį, nukopijuotą į mainų sritį (kopijavimo-įklijavimo buferis) ir pakeičia jį kita informacija. „GoPIX“ atveju jis specialiai nuskaito „Pix“ perkėlimus. Kai ji nustato mokėjimo užklausą, ji pakeičia duomenis, veiksmingai nukreipdama operaciją kibernetiniams nusikaltėliams. Pažymėtina, kad užpuoliko informacija nėra užkoduota kenkėjiškoje programoje, o gaunama iš komandų ir valdymo (C&C) serverio, todėl tai suteikia lankstumo.
„GoPIX“ taip pat veikia kaip kirpimo mašinėlė, pakeičianti kriptovaliutų piniginės adresus, kurie yra labiau paplitę kirpimo mašinėlės tipai. Tačiau „Bitcoin“ ir „Ethereum“ piniginės adresai yra iš anksto nustatyti, skirtingai nei „Pix“ duomenys, kurie suteikia daugiau lankstumo pastariesiems.
