GoPIX-malware

GoPIX is kwaadaardige software die zich specifiek richt op het Pix-platform voor directe betaling. In wezen functioneert deze malware als een clipper, met als voornaamste doel het omleiden van transacties via het Pix-platform. Bovendien functioneert het als een meer typische clipper, waarbij het zich ook richt op cryptocurrency-transacties.

Dit kwaadaardige programma, bekend als GoPIX, is in ieder geval sinds december 2022 in omloop. Aangezien Pix een betalingssysteem is dat wordt beheerd door de Centrale Bank van Brazilië (BCB), bestaat het gebruikersbestand voornamelijk uit Braziliaanse burgers. Bijgevolg zijn de activiteiten van GoPIX voornamelijk geconcentreerd in Brazilië.

Op het moment dat dit artikel wordt geschreven, worden GoPIX-infecties voornamelijk geïnitieerd via kwaadaardige websites die gepromoot worden via misleidende advertenties, een techniek die bekend staat als malvertising, een vorm van zoekmachinevergiftiging. Momenteel wordt de malware gedownload uit een van de twee bronnen, afhankelijk van of het apparaat van het slachtoffer poort 27275 open heeft.

Deze specifieke poort wordt gebruikt door een beveiligd bankproduct dat is ontwikkeld door een cyberbeveiligingsbedrijf. Wanneer deze software afwezig is op het beoogde apparaat, wordt een NSIS-installatiepakket gedownload, dat PowerShell-scripts bevat. Vervolgens worden er meer scripts gedownload, waardoor het infectieproces wordt gestart dat uiteindelijk naar GoPIX leidt. Als de legitieme software echter aanwezig is, wordt een ZIP-archief gedownload. In dit archief bevindt zich een LNK-bestand dat een PowerShell-script bevat, dat vervolgens het infectieproces bevordert.

GoPIX Monitort Klembord voor meer dan Pix

Zoals eerder vermeld functioneert GoPIX als een clipper. Malware van dit type detecteert de inhoud die naar het klembord is gekopieerd (kopieer-plakbuffer) en vervangt deze door andere informatie. In het geval van GoPIX wordt specifiek gescand op Pix-overdrachten. Wanneer het een betalingsverzoek identificeert, wijzigt het de gegevens, waardoor de transactie effectief wordt doorgestuurd naar de cybercriminelen. Met name de informatie van de aanvaller is niet hardgecodeerd in de malware, maar wordt opgehaald van een Command and Control (C&C)-server, wat flexibiliteit biedt.

GoPIX dient ook als een clipper die portemonnee-adressen voor cryptocurrency vervangt, wat een vaker voorkomend type clipper is. De portemonnee-adressen van Bitcoin en Ethereum zijn echter vooraf gedefinieerd, in tegenstelling tot de Pix-gegevens, wat voor meer flexibiliteit in de laatste zorgt.