Złośliwe oprogramowanie GoPIX

GoPIX to złośliwe oprogramowanie, którego celem jest platforma płatności natychmiastowych Pix. Zasadniczo to szkodliwe oprogramowanie działa jak Clipper, którego głównym celem jest przekierowywanie transakcji dokonywanych za pośrednictwem platformy Pix. Dodatkowo pełni funkcję bardziej typowego Clippera, gdzie na celowniku znajdują się również transakcje kryptowalutowe.

Ten szkodliwy program, znany jako GoPIX, znajduje się w obiegu co najmniej od grudnia 2022 r. Biorąc pod uwagę, że Pix jest systemem płatniczym zarządzanym przez Bank Centralny Brazylii (BCB), jego baza użytkowników składa się głównie z obywateli Brazylii. W związku z tym działalność GoPIX koncentruje się głównie w Brazylii.

W chwili pisania tego tekstu infekcje GoPIX są inicjowane głównie przez złośliwe strony internetowe promowane za pomocą zwodniczych reklam. Jest to technika znana jako malvertising i forma zatruwania wyszukiwarek. Obecnie szkodliwe oprogramowanie jest pobierane z jednego z dwóch źródeł, w zależności od tego, czy urządzenie ofiary ma otwarty port 27275.

Ten konkretny port jest wykorzystywany przez bezpieczny produkt bankowy opracowany przez firmę zajmującą się cyberbezpieczeństwem. Jeśli na docelowym urządzeniu nie ma tego oprogramowania, pobierany jest pakiet instalatora NSIS, który zawiera skrypty PowerShell. Następnie pobieranych jest więcej skryptów, inicjując proces infekcji, który ostatecznie prowadzi do GoPIX. Jeśli jednak obecne jest legalne oprogramowanie, pobierane jest archiwum ZIP. Wewnątrz tego archiwum znajduje się plik LNK zawierający skrypt PowerShell, który następnie przyspiesza proces infekcji.

GoPIX monitoruje schowek dla więcej niż Pix

Jak wspomniano wcześniej, GoPIX pełni funkcję maszynki do strzyżenia. Złośliwe oprogramowanie tego typu wykrywa treść skopiowaną do schowka (bufor kopiuj-wklej) i zastępuje ją inną informacją. W przypadku GoPIX skanuje w szczególności w poszukiwaniu transferów Pix. Po zidentyfikowaniu żądania płatności zmienia dane, skutecznie przekierowując transakcję do cyberprzestępców. Warto zauważyć, że informacje o atakującym nie są zakodowane na stałe w złośliwym oprogramowaniu, ale są pobierane z serwera dowodzenia i kontroli (C&C), co zapewnia elastyczność.

GoPIX służy również jako maszynka do strzyżenia, która zastępuje adresy portfeli kryptowalut, co jest bardziej powszechnym typem maszynki do strzyżenia. Jednak adresy portfeli Bitcoin i Ethereum są predefiniowane, w przeciwieństwie do danych Pix, co pozwala na większą elastyczność w tym drugim przypadku.