GoPIX-Malware

GoPIX bedroht Software, die speziell dafür entwickelt wurde, die Pix-Sofortzahlungsplattform zu gefährden. Im Wesentlichen fungiert diese Malware als Clipper, der über die Pix-Plattform durchgeführte Transaktionen umleitet. Darüber hinaus fungiert es als herkömmlicher Clipper und erweitert seinen Anwendungsbereich um Kryptowährungstransaktionen.

GoPIX ist seit mindestens Dezember 2022 im Umlauf. Da Pix eine von der brasilianischen Zentralbank (BCB) eingerichtete und überwachte Zahlungsplattform ist, besteht ihre Nutzerbasis überwiegend aus brasilianischen Bürgern. Folglich beschränken sich die Aktivitäten von GoPIX hauptsächlich auf die brasilianische Landschaft.

Die GoPIX-Malware-Infektionskette

GoPIX-Infektionen stammen von bedrohlichen Websites, die durch irreführende Werbung beworben werden, eine Technik, die als Malvertising bekannt ist und häufig bei Suchmaschinenvergiftungen eingesetzt wird. Derzeit wird die Malware aus einer von zwei Quellen erworben, wobei die Auswahl davon abhängt, ob auf dem Gerät des Opfers Port 27275 geöffnet ist.

Dieser spezielle Port ist normalerweise mit einem legitimen und sicheren Bankprodukt verbunden. In Fällen, in denen diese Software auf dem Zielsystem nicht vorhanden ist, wird ein NSIS-Installationspaket abgerufen, das PowerShell-Skripte und zusätzliche Komponenten enthält. Dadurch wird die Infektionskette in Gang gesetzt, die letztendlich zum Einsatz von GoPIX führt. Wenn jedoch die entsprechende Software vorhanden ist, wird ein ZIP-Archiv heruntergeladen, in dem eine LNK-Datei ein PowerShell-Skript enthält, das die Infektionskette weiter vorantreibt.

Wie bereits erwähnt, fungiert GoPIX als Malware vom Clipper-Typ. Diese Malware-Kategorie überwacht den in die Zwischenablage (Kopieren-Einfügen-Puffer) kopierten Inhalt und ersetzt ihn durch andere Informationen, wodurch letztendlich das, was eingefügt wird, verändert wird.

Im Fall von GoPIX wird gezielt nach Pix-Übertragungen gesucht. Wenn es eine Zahlungsanforderung erkennt, greift es ein, indem es die Daten ersetzt und so die Transaktion effektiv an die Cyberkriminellen weiterleitet. Insbesondere sind die vom Angreifer verwendeten Informationen nicht fest in der Malware verankert, sondern flexibel und werden von einem Command and Control (C&C)-Server abgerufen.

Darüber hinaus fungiert GoPIX als Clipper, der auf Kryptowährungs-Wallet-Adressen abzielt, eine häufigere Variante. Allerdings sind in diesem Fall die Bitcoin- und Ethereum-Wallet-Adressen vorbestimmt, im Gegensatz zu den Pix-Daten, die dynamisch manipuliert werden.

Die GoPIX-Malware könnte durch betrügerische Werbung verbreitet werden

Es wurde beobachtet, dass sich GoPIX durch Malvertising-Kampagnen verbreitet, bei denen es sich insbesondere um eine Form der Suchmaschinenoptimierung (SEO) handelt. Diese Taktik beinhaltet die Manipulation der Top-Suchergebnisse, typischerweise Anzeigen, die erscheinen, wenn eine bestimmte Suchanfrage in eine Suchmaschine eingegeben wird. Diese veränderten Ergebnisse leiten Benutzer auf bösartige Websites weiter.

In diesen Fällen lautete die gewählte Suchanfrage „WhatsApp Web“ und die in den Top-Ergebnissen angezeigten Werbeanzeigen führten zu Weiterleitungsketten auf bösartige Webseiten oder lösten diese aus. Insbesondere die Websites, die für die Verbreitung von GoPIX bekannt sind, nutzten legitime Tools, um ihre Besucher zu filtern und so sicherzustellen, dass nur echte Benutzer auf die Inhalte zugreifen konnten, während gleichzeitig Bots abgewehrt wurden. Diese irreführenden Seiten wurden so gestaltet, dass sie der offiziellen WhatsApp-Website ähneln.

Es ist wichtig anzuerkennen, dass GoPIX auch über alternative Methoden verbreitet werden kann. Bei der Verbreitung dieser Malware werden häufig Phishing- und Social-Engineering-Techniken eingesetzt. Zu den typischen Verbreitungswegen gehören heimliche Drive-by-Downloads, das Einfügen schädlicher Anhänge oder Links in Spam-Nachrichten (z. B. E-Mails, private Nachrichten, Textnachrichten usw.), Online-Betrug, Malvertising und verdächtige Downloadquellen (z. B. Freeware und kostenlose Dateien). -Hosting-Plattformen, Peer-to-Peer-Sharing-Netzwerke usw.), illegale Tools zum Knacken von Software und gefälschte Aufforderungen zur Softwareaktualisierung.