GoPIX Malware

GoPIX er en ondsinnet programvare som spesifikt retter seg mot Pix-plattformen for øyeblikkelig betaling. I hovedsak fungerer denne skadelige programvaren som en klipper, med det primære formålet å omdirigere transaksjoner gjort gjennom Pix-plattformen. I tillegg fungerer den som en mer typisk klipper, der den også retter seg mot kryptovalutatransaksjoner.

Dette ondsinnede programmet, kjent som GoPIX, har vært i omløp siden minst desember 2022. Gitt at Pix er et betalingssystem administrert av Central Bank of Brazil (BCB), består brukerbasen hovedsakelig av brasilianske statsborgere. Følgelig er GoPIXs aktiviteter primært konsentrert i Brasil.

Når dette skrives, er GoPIX-infeksjoner primært initiert fra ondsinnede nettsteder som markedsføres gjennom villedende annonser, en teknikk kjent som malvertising, en form for søkemotorforgiftning. For øyeblikket lastes skadelig programvare ned fra en av to kilder, avhengig av om offerets enhet har port 27275 åpen.

Denne spesielle porten brukes av et sikkert bankprodukt utviklet av et cybersikkerhetsselskap. Når denne programvaren er fraværende fra den målrettede enheten, lastes en NSIS-installasjonspakke ned, som inkluderer PowerShell-skript. Flere skript blir senere lastet ned, og starter infeksjonsprosessen som til slutt fører til GoPIX. Men hvis den legitime programvaren er til stede, lastes et ZIP-arkiv ned. Inne i dette arkivet er en LNK-fil som inneholder et PowerShell-skript, som deretter fremmer infeksjonsprosessen.

GoPIX-skjermer utklippstavle for mer enn Pix

Som nevnt tidligere fungerer GoPIX som en klipper. Skadelig programvare av denne typen oppdager innholdet som er kopiert til utklippstavlen (copy-paste buffer) og erstatter det med annen informasjon. Når det gjelder GoPIX, skanner den spesifikt etter Pix-overføringer. Når den identifiserer en betalingsforespørsel, endrer den dataene, og omdirigerer effektivt transaksjonen til nettkriminelle. Spesielt er angriperens informasjon ikke hardkodet inn i skadelig programvare, men hentes fra en Command and Control (C&C) server, noe som gir fleksibilitet.

GoPIX fungerer også som en klipper som erstatter cryptocurrency-lommebokadresser, som er en mer vanlig type klipper. Imidlertid er Bitcoin- og Ethereum-lommebokadressene forhåndsdefinerte, i motsetning til Pix-dataene, som gir mer fleksibilitet i sistnevnte.