GoPIX マルウェア

GoPIX は、Pix インスタント支払いプラットフォームを侵害するために特別に設計されたソフトウェアを脅威にさらしています。本質的に、このマルウェアはクリッパーとして機能し、Pix プラットフォームを通じて実行されるトランザクションをリダイレクトします。さらに、従来のクリッパーとしても動作し、その範囲を仮想通貨トランザクションにまで拡張します。

GoPIX は少なくとも 2022 年 12 月から流通しています。Pix がブラジル中央銀行 (BCB) によって設立および監督されている決済プラットフォームであることを考えると、そのユーザーベースは主にブラジル国民で構成されています。したがって、GoPIX の活動は主にブラジルの風景に限定されています。

GoPIX マルウェア感染チェーン

GoPIX の感染は、不正な広告を通じて宣伝される脅威的な Web サイトから発生します。この手法はマルバタイジングとして知られ、検索エンジン ポイズニングでよく使用されます。現在、マルウェアは 2 つのソースのいずれかから取得されますが、選択は被害者のデバイスでポート 27275 が開いているかどうかによって異なります。

この特定のポートは通常、合法的で安全な銀行商品に関連付けられています。このソフトウェアがターゲット システムに存在しない場合は、PowerShell スクリプトと追加コンポーネントを含む NSIS インストーラー パッケージが取得されます。これにより感染チェーンが開始され、最終的に GoPIX の展開につながります。ただし、特定のソフトウェアが存在する場合は、ZIP アーカイブがダウンロードされ、その中の LNK ファイルには、感染連鎖をさらに推進する PowerShell スクリプトが含まれています。

前述したように、GoPIX はクリッパー型マルウェアとして機能します。このカテゴリのマルウェアは、クリップボード (コピー/貼り付けバッファ) にコピーされた内容を監視し、それを別の情報に置き換えて、最終的に貼り付けられた内容を変更します。

GoPIX の場合、特に Pix 転送をスキャンします。支払い要求を検出すると、データを置き換えて介入し、事実上、取引をサイバー犯罪者にリダイレクトします。特に、攻撃者が使用する情報はマルウェアに組み込まれているのではなく、柔軟であり、コマンド アンド コントロール (C&C) サーバーから取得されます。

さらに、GoPIX は、より一般的な亜種である暗号通貨ウォレット アドレスをターゲットとするクリッパーとして動作します。ただし、この場合、動的に操作される Pix データとは対照的に、ビットコインとイーサリアムのウォレット アドレスはあらかじめ決められています。

GoPIX マルウェアは不正な広告を通じて拡散する可能性がある

GoPIX は、特に検索エンジン最適化 (SEO) ポイズニングの一種を伴うマルバタイジング キャンペーンを通じて拡散することが観察されています。この戦術には、特定のクエリが検索エンジンに入力されたときに表示される上位の検索結果 (通常は広告) の操作が伴います。これらの変更された結果は、ユーザーを悪意のある Web サイトにリダイレクトします。

これらのケースでは、選択された検索クエリは「WhatsApp Web」であり、上位の結果として表示された広告が、悪意のある Web ページへのリダイレクトの連鎖を引き起こしたり開始したりしていました。特に、GoPIX を広めることで知られる Web サイトは、正規のツールを使用して訪問者をフィルタリングし、ボットを阻止しながら本物のユーザーのみがコンテンツにアクセスできるようにしていました。これらの欺瞞的なページは、WhatsApp の公式 Web サイトに似せて作成されました。

GoPIX は別の方法でも配布できることを認識することが重要です。このマルウェアの拡散には、フィッシングやソーシャル エンジニアリングの手法がよく利用されています。一般的な配布手段には、こっそりドライブバイ ダウンロード、スパム メッセージ (電子メール、プライベート メッセージ、テキスト メッセージなど) への悪意のある添付ファイルやリンクの組み込み、オンライン詐欺、マルバタイジング、不審なダウンロード ソース (フリーウェアやフリー ファイルなど) が含まれます。 -ホスティング プラットフォーム、ピアツーピア共有ネットワークなど）、違法なソフトウェア クラッキング ツール、偽のソフトウェア アップデート プロンプト。