В Бразилии платежная система PIX становится все более популярной. Неудивительно, что киберпреступники подхватывают ее и пытаются использовать в своих корыстных целях. Наглядным примером этого является GoPIX - вредоносная кампания, действующая с декабря 2022 года.
Цикл атаки начинается с того, что потенциальная жертва ищет "WhatsApp web". Злоумышленники используют вредоносную рекламу: их ссылки размещаются в рекламном разделе результатов поиска, поэтому пользователь видит их первыми. При переходе по такой ссылке происходит перенаправление, и пользователь попадает на целевую страницу с вредоносным ПО. Далее происходит нечто интересное: злоумышленники с помощью решения для предотвращения мошенничества IP Quality Score определяют, кто является посетителем - реальный пользователь или бот. Если все в порядке (с точки зрения злоумышленников), показывается фальшивая страница загрузки WhatsApp, и пользователь обманом загружает вредоносную программу.
И снова происходит нечто интересное, поскольку существует два URL-адреса, с которых может быть загружена вредоносная программа. Выбор URL-адреса зависит от того, открыт ли порт 27275 на компьютере пользователя. Этот порт используется программой Avast safe banking. При обнаружении этого ПО загружается ZIP-файл, содержащий LNK-файл, в который встроен обфусцированный PowerShell-скрипт, загружающий следующий этап. Если порт закрыт, то этот этап пропускается и загружается следующий этап (пакет установщика NSIS). Единственная цель этого сценария - обойти защиту Avast и обеспечить загрузку вредоносного ПО в систему.
Пакет установщика NSIS содержит некоторые сценарии PowerShell, загружает дополнительные сценарии, а также загружает вредоносную программу (GoPIX). После расшифровки полезной нагрузки и выполнения различных шеллкодов происходит окончательная загрузка дроппера вредоносной программы с помощью проекта sRDI (Shellcode Reflective DLL Injection), который можно найти на GitHub. Затем вредоносная программа-дроппер запускает процесс "svchost" в приостановленном состоянии и внедряет в него GoPIX.
GoPIX - это типичный похититель буфера обмена, который похищает "транзакции" PIX, используемые для идентификации платежных запросов, и заменяет их на вредоносные (контролируемые злоумышленником), которые извлекаются из C2. Вредоносная программа также поддерживает подмену адресов кошельков Bitcoin и Ethereum. Однако они жестко закодированы во вредоносной программе и не извлекаются из C2. GoPIX также может получать команды C2, но они связаны только с удалением вредоносной программы с машины.
Indicators of Compromise
MD5
- 333a34bd2a7c6aaf298888f3ef02c186
- 6ba5539762a71e542ecac7cf59bddf79
- eb0b4e35a2ba442821e28d617dd2daa2