GoPIX Malware

GoPIX är en skadlig programvara som specifikt riktar sig till Pix-plattformen för omedelbar betalning. I huvudsak fungerar denna skadliga programvara som en klippare, med det primära syftet att omdirigera transaktioner som görs via Pix-plattformen. Dessutom fungerar den som en mer typisk klippare, där den också riktar sig till kryptovalutatransaktioner.

Detta skadliga program, känt som GoPIX, har varit i omlopp sedan åtminstone december 2022. Med tanke på att Pix är ett betalningssystem som hanteras av Brasiliens centralbank (BCB), består dess användarbas till övervägande del av brasilianska medborgare. Följaktligen är GoPIX:s verksamhet främst koncentrerad till Brasilien.

När detta skrivs initieras GoPIX-infektioner främst från skadliga webbplatser som marknadsförs genom vilseledande annonser, en teknik som kallas malvertising, en form av sökmotorförgiftning. För närvarande laddas skadlig programvara ner från en av två källor, beroende på om offrets enhet har port 27275 öppen.

Denna speciella port används av en säker bankprodukt utvecklad av ett cybersäkerhetsföretag. När den här programvaran är frånvarande från den riktade enheten, laddas ett NSIS-installationspaket ned, som inkluderar PowerShell-skript. Fler skript laddas sedan ner, vilket initierar infektionsprocessen som så småningom leder till GoPIX. Men om den legitima programvaran finns, laddas ett ZIP-arkiv ner. Inuti detta arkiv finns en LNK-fil som innehåller ett PowerShell-skript, som sedan förflyttar infektionsprocessen.

GoPIX övervakar Urklipp för mer än Pix

Som nämnts tidigare fungerar GoPIX som en klippare. Skadlig programvara av denna typ upptäcker innehållet som kopierats till urklipp (kopiera-klistra buffert) och ersätter det med annan information. När det gäller GoPIX söker den specifikt efter Pix-överföringar. När den identifierar en betalningsbegäran ändrar den uppgifterna, vilket i praktiken omdirigerar transaktionen till cyberbrottslingar. Angriparens information är inte hårdkodad i skadlig programvara utan hämtas från en Command and Control-server (C&C), vilket ger flexibilitet.

GoPIX fungerar också som en clipper som ersätter kryptovaluta plånboksadresser, vilket är en vanligare typ av clipper. Däremot är Bitcoin- och Ethereum-plånboksadresserna fördefinierade, till skillnad från Pix-data, vilket möjliggör mer flexibilitet i det senare.