Вредоносное ПО GoPIX

GoPIX — это вредоносное программное обеспечение, специально нацеленное на платформу мгновенных платежей Pix. По сути, это вредоносное ПО действует как клиппер, основной целью которого является перенаправление транзакций, совершаемых через платформу Pix. Кроме того, он функционирует как более типичный клиппер, предназначенный также для транзакций криптовалюты.

Эта вредоносная программа, известная как GoPIX, находится в обращении как минимум с декабря 2022 года. Учитывая, что Pix — это платежная система, управляемая Центральным банком Бразилии (BCB), ее пользовательская база состоит преимущественно из граждан Бразилии. Следовательно, деятельность GoPIX в основном сосредоточена в Бразилии.

На момент написания этой статьи заражения GoPIX в основном инициировались с вредоносных веб-сайтов, продвигаемых с помощью обманной рекламы — метода, известного как вредоносная реклама, формы отравления поисковых систем. На данный момент вредоносная программа загружается из одного из двух источников, в зависимости от того, открыт ли на устройстве жертвы порт 27275.

Этот конкретный порт используется безопасным банковским продуктом, разработанным компанией, занимающейся кибербезопасностью. Если это программное обеспечение отсутствует на целевом устройстве, загружается пакет установщика NSIS, который включает сценарии PowerShell. Впоследствии загружаются дополнительные сценарии, инициируя процесс заражения, который в конечном итоге приводит к GoPIX. Однако, если присутствует легальное программное обеспечение, загружается ZIP-архив. Внутри этого архива находится файл LNK, содержащий сценарий PowerShell, который затем запускает процесс заражения.

GoPIX контролирует буфер обмена для большего, чем просто Pix

Как упоминалось ранее, GoPIX функционирует как клиппер. Вредоносное ПО этого типа обнаруживает содержимое, скопированное в буфер обмена (буфер копирования-вставки), и заменяет его другой информацией. В случае GoPIX он специально сканирует передачи Pix. Когда он идентифицирует запрос на оплату, он изменяет данные, фактически перенаправляя транзакцию киберпреступникам. Примечательно, что информация о злоумышленнике не жестко запрограммирована во вредоносном ПО, а извлекается с сервера управления и контроля (C&C), что обеспечивает гибкость.

GoPIX также служит клиппером, который заменяет адреса криптовалютных кошельков, что является более распространенным типом клиппера. Однако адреса кошельков Bitcoin и Ethereum предопределены, в отличие от данных Pix, что обеспечивает большую гибкость в последних.