GoPIX 恶意软件

GoPIX是一款专门针对Pix即时支付平台的恶意软件。从本质上讲，这种恶意软件的功能就像一个剪辑器，其主要目的是重定向通过 Pix 平台进行的交易。此外，它的功能就像一个更典型的限幅器，它还针对加密货币交易。

这种名为 GoPIX 的恶意程序至少自 2022 年 12 月起就开始传播。鉴于 Pix 是由巴西中央银行 (BCB) 管理的支付系统，其用户群主要由巴西公民组成。因此，GoPIX 的活动主要集中在巴西境内。

在撰写本文时，GoPIX 感染主要是由通过欺骗性广告推广的恶意网站发起的，这种技术称为恶意广告，是搜索引擎中毒的一种形式。目前，该恶意软件是从两个来源之一下载的，具体取决于受害者的设备是否打开端口 27275。

该特定端口由网络安全公司开发的安全银行产品使用。当目标设备中缺少此软件时，会下载 NSIS 安装程序包，其中包括 PowerShell 脚本。随后会下载更多脚本，启动最终导致 GoPIX 的感染过程。但是，如果存在合法软件，则会下载 ZIP 存档。该存档内有一个 LNK 文件，其中包含一个 PowerShell 脚本，该脚本随后会推进感染过程。

GoPIX 监控剪贴板的功能不仅仅是 Pix

正如前面提到的，GoPIX 的功能就像一个剪辑器。此类恶意软件会检测复制到剪贴板（复制粘贴缓冲区）的内容，并用不同的信息替换它。对于 GoPIX，它专门扫描 Pix 传输。当它识别出支付请求时，它会更改数据，有效地将交易重定向给网络犯罪分子。值得注意的是，攻击者的信息并未硬编码到恶意软件中，而是从命令与控制 (C&C) 服务器检索，从而提供了灵活性。

GoPIX 还可以用作替换加密货币钱包地址的限幅器，这是一种更常见的限幅器类型。然而，与 Pix 数据不同，比特币和以太坊钱包地址是预定义的，这使得后者具有更大的灵活性。