GoPIX 惡意軟體

GoPIX是一款專門針對Pix即時支付平台的惡意軟體。從本質上講，這種惡意軟體的功能就像一個剪輯器，其主要目的是重定向透過 Pix 平台進行的交易。此外，它的功能就像一個更典型的限幅器，它也針對加密貨幣交易。

這種名為 GoPIX 的惡意程式至少自 2022 年 12 月起就開始傳播。鑑於 Pix 是由巴西中央銀行 (BCB) 管理的支付系統，其用戶群主要由巴西公民組成。因此，GoPIX 的活動主要集中在巴西境內。

在撰寫本文時，GoPIX 感染主要是透過欺騙性廣告推廣的惡意網站發起的，這種技術稱為惡意廣告，是搜尋引擎中毒的一種形式。目前，該惡意軟體是從兩個來源之一下載的，具體取決於受害者的裝置是否開啟連接埠 27275。

此特定連接埠由網路安全公司開發的安全銀行產品使用。當目標裝置中缺少此軟體時，會下載 NSIS 安裝程式包，其中包括 PowerShell 腳本。隨後下載更多腳本，啟動最終導致 GoPIX 的感染過程。但是，如果存在合法軟體，則會下載 ZIP 檔案。該檔案內有一個 LNK 文件，其中包含一個 PowerShell 腳本，隨後會推進感染過程。

GoPIX 監控剪貼簿的功能不僅僅是 Pix

如同前面提到的，GoPIX 的功能就像一個剪輯器。此類惡意軟體會偵測複製到剪貼簿（複製貼上緩衝區）的內容，並用不同的資訊取代它。對於 GoPIX，它專門掃描 Pix 傳輸。當它識別出支付請求時，它會更改數據，有效地將交易重定向給網路犯罪分子。值得注意的是，攻擊者的資訊並未硬編碼到惡意軟體中，而是從命令與控制 (C&C) 伺服器檢索，從而提供了靈活性。

GoPIX 還可以用作替換加密貨幣錢包位址的限幅器，這是一種更常見的限幅器類型。然而，與 Pix 數據不同，比特幣和以太坊錢包地址是預先定義的，這使得後者俱有更大的靈活性。