Logiciel malveillant GoPIX

GoPIX menace un logiciel spécialement conçu pour compromettre la plateforme de paiement instantané Pix. Essentiellement, ce malware fonctionne comme un clipper, redirigeant les transactions effectuées via la plateforme Pix. De plus, il fonctionne comme un clipper conventionnel, étendant sa portée pour inclure les transactions de crypto-monnaie.

GoPIX est en circulation depuis au moins décembre 2022. Étant donné que Pix est une plateforme de paiement établie et supervisée par la Banque centrale du Brésil (BCB), sa base d'utilisateurs est majoritairement composée de citoyens brésiliens. Par conséquent, les activités de GoPIX se limitent principalement au paysage brésilien.

La chaîne d’infection des logiciels malveillants GoPIX

Les infections GoPIX proviennent de sites Web menaçants promus via des publicités trompeuses, une technique connue sous le nom de publicité malveillante, souvent utilisée dans l'empoisonnement des moteurs de recherche. Actuellement, le logiciel malveillant est acquis à partir de l'une des deux sources suivantes, la sélection dépendant du fait que le port 27275 soit ouvert sur l'appareil de la victime.

Ce port particulier est généralement associé à un produit bancaire légitime et sécurisé. Dans les cas où ce logiciel est absent sur le système ciblé, un package d'installation NSIS est récupéré, contenant des scripts PowerShell et des composants supplémentaires. Cela initie la chaîne d’infection, conduisant finalement au déploiement de GoPIX. Cependant, si le logiciel spécifique est présent, une archive ZIP est téléchargée, dans laquelle un fichier LNK contient un script PowerShell qui propulse davantage la chaîne d'infection.

Comme mentionné précédemment, GoPIX fonctionne comme un malware de type clipper. Cette catégorie de logiciels malveillants surveille le contenu copié dans le presse-papiers (le tampon copier-coller) et le remplace par différentes informations, modifiant finalement ce qui est collé.

Dans le cas de GoPIX, il recherche spécifiquement les transferts Pix. Lorsqu'il détecte une demande de paiement, il intervient en remplaçant les données, redirigeant ainsi la transaction vers les cybercriminels. Notamment, les informations utilisées par l'attaquant ne sont pas intégrées au logiciel malveillant, mais sont flexibles et récupérées à partir d'un serveur de commande et de contrôle (C&C).

De plus, GoPIX fonctionne comme un clipper qui cible les adresses de portefeuille de crypto-monnaie, une variante plus courante. Cependant, dans ce cas, les adresses des portefeuilles Bitcoin et Ethereum sont prédéterminées, contrairement aux données Pix, qui sont manipulées dynamiquement.

Le logiciel malveillant GoPIX pourrait se propager via des publicités frauduleuses

Il a été observé que GoPIX se propage via des campagnes de publicité malveillante, impliquant spécifiquement une forme d'empoisonnement par l'optimisation des moteurs de recherche (SEO). Cette tactique consiste à manipuler les principaux résultats de recherche, généralement des publicités, qui apparaissent lorsqu'une requête spécifique est saisie dans un moteur de recherche. Ces résultats modifiés redirigent les utilisateurs vers des sites Web malveillants.

Dans ces cas, la requête de recherche choisie était « WhatsApp Web » et les publicités présentées comme les premiers résultats conduisaient ou initiaient des chaînes de redirection vers des pages Web malveillantes. Notamment, les sites Web connus pour diffuser GoPIX utilisaient des outils légitimes pour filtrer leurs visiteurs, garantissant que seuls les utilisateurs authentiques pouvaient accéder au contenu tout en contrecarrant les robots. Ces pages trompeuses ont été conçues pour ressembler au site officiel de WhatsApp.

Il est essentiel de reconnaître que GoPIX peut également être distribué via des méthodes alternatives. Les techniques de phishing et d’ingénierie sociale sont couramment utilisées dans la prolifération de ces logiciels malveillants. Les voies de distribution typiques incluent les téléchargements furtifs, l'inclusion de pièces jointes ou de liens malveillants dans les messages de spam (par exemple, les e-mails, les messages privés, les messages texte, etc.), les escroqueries en ligne, la publicité malveillante, les sources de téléchargement suspectes (telles que les logiciels gratuits et les fichiers gratuits). (plateformes d'hébergement, réseaux de partage peer-to-peer, etc.), outils de craquage de logiciels illégaux et fausses invites de mise à jour de logiciels.