GoPix: новый уровень угрозы для банков Бразилии использует сертификаты и память для скрытых атак

Финансовый сектор Бразилии столкнулся с беспрецедентно сложной угрозой, которая переопределяет стандарты для локальных вредоносных программ. Речь идёт о семействе GoPix, представляющем собой постоянную угрозу, которая нацелена как на клиентов традиционных банков, так и на пользователей криптовалют. В отличие от типичных бразильских программ-вымогателей или троянов, GoPix демонстрирует уровень технической изощрённости, ранее нехарактерный для региона, активно внедряя техники, заимствованные у глобальных APT-групп. Его главная опасность заключается в способности проводить атаки "человек посередине" прямо в памяти жертвы, манипулируя транзакциями национальной платежной системы Pix, квитанциями Boleto и переводами в криптовалюте, оставаясь при этом практически невидимым для традиционных средств защиты.

Описание

Атака начинается с продуманной кампании злонамеренной рекламы. Злоумышленники с декабря 2022 года используют платформу Google Ads для размещения приманок, имитирующих загрузку популярных сервисов вроде WhatsApp, Google Chrome или бразильской почты Correios. Однако ключевая особенность - это система предварительного отбора жертв. При переходе на вредоносную целевую страницу запускается скрипт, который через легитимный сервис проверки на мошенничество (anti-fraud service) анализирует параметры браузера и окружения пользователя. Эта проверка призвана отсеять исследовательские песочницы (sandbox) и ботов, направив их на безвредную страницу-пустышку. Настоящая вредоносная нагрузка доставляется только тем, кто проходит эту проверку и считается "ценной целью", например, сотрудникам государственных финансовых органов или крупных корпораций.

Интересно, что механизм заражения адаптируется под установленное на компьютере защитное ПО. Специалисты, проводившие анализ, отметили в своём отчёте, что если система жертвы не защищена продуктами Avast, популярными в Бразилии, то загружается исполняемый NSIS-инсталлятор, подписанный украденным код-сайнинг сертификатом на имя компании "PLK Management Limited". Если же на компьютере обнаружен Avast с функцией Safe Banking (открыт порт 27275), то злоумышленники, чтобы обойти блокировку загрузки исполняемых файлов, предлагают жертве ZIP-архив с ярлыком (LNK-файлом), содержащим обфусцированную команду PowerShell. Оба вектора в итоге приводят к выполнению в памяти сложной цепочки скриптов.

Именно работа в памяти (memory-only) является краеугольным камнем стелс-возможностей GoPix. После начальных этапов в систему загружается обфусцированный скрипт PowerShell, который, в свою очередь, расшифровывает и исполняет в памяти следующий скрипт. Тот уже занимается распаковкой финальной полезной нагрузки - шелл-кода и DLL-библиотек основного импланта. Причём заголовки PE-файлов (MZ-сигнатуры) в памяти затираются, что затрудняет их обнаружение инструментами дампа памяти. Дроппер (загрузчик) трояна использует прямые системные вызовы (direct syscalls) для создания приостановленного процесса браузера (Chrome, Firefox, Edge или Opera) и внедряет в него шелл-код, который, в свою очередь, загружает главный модуль GoPix. Вся эта цепочка оставляет минимум артефактов на диске, сводя на нет эффективность статических сигнатур, например, правил YARA.

Функционал трояна сосредоточен на хищении и манипуляции финансовыми данными. GoPix активно мониторит буфер обмена, выискивая данные для переводов Pix, номера криптокошельков Bitcoin и Ethereum, а также типографические линии для оплаты квитанций Boleto. Если обнаружен адрес криптовалютного кошелька, троянец подменяет его на адрес злоумышленников. Однако главная инновация - это реализация атаки "человек посередине" через Proxy Auto-Configuration (PAC) файл. Вместо того чтобы перенаправлять жертву на фишинговый сайт, GoPix манипулирует трафиком прямо во время сессии на легитимном сайте банка. Для скрытия целевых доменов в PAC-файле используются их хэши CRC32. Более того, чтобы скрыть свой прокси-сервер, троянец проверяет, какой процесс инициировал соединение, вычисляет CRC32 от его имени и сравнивает со списком разрешённых браузеров, разрывая подозрительные подключения.

Для перехвата зашифрованного HTTPS-трафика GoPix внедряет в память браузера поддельный доверенный корневой сертификат. Это позволяет троянцу прозрачно расшифровывать, просматривать и изменять данные, передаваемые между жертвой и банком, при этом сертификат не отображается в системном хранилище ОС. Помимо этого, троянец использует центры управления с крайне коротким временем жизни (несколько часов), что серьёзно осложняет их отслеживание и блокировку. Также реализованы механизмы постоянного закрепления в системе и очистки следов, направленные на противодействие процедурам цифровой криминалистики и реагирования на инциденты (DFIR, Digital Forensics and Incident Response).

Появление GoPix сигнализирует о качественном скачке в киберпреступности региона. Угроза сочетает в себе коммерческую направленность классического банковского троянца с методами уклонения и скрытности, характерными для государственных APT-групп. Для защиты эксперты рекомендуют финансовым организациям и их клиентам уделять повышенное внимание осведомлённости о фишинге, внедрять решения для защиты конечных точек (EDR), способные анализировать поведение процессов и работу в памяти, а также тщательно мониторить сетевую активность на предмет аномальных подключений и использования PAC-файлов. Борьба с такими сложными угрозами требует перехода от простого сигнатурного анализа к продвинутым методам поведенческого обнаружения аномалий.