GoPix: Стейллер нового поколения атакует финансовые операции в Бразилии через уникальные атаки «человек посередине»

В мире финансовых угроз появился новый опасный игрок, демонстрирующий беспрецедентный уровень сложности для вредоносного ПО, создаваемого в Латинской Америке. Угроза под названием GoPix, нацеленная на клиентов бразильских банков и пользователей криптовалют, эволюционировала из относительно простых автоматизированных систем перевода (ATS) и удалённых троянов (RAT) в полноценную продвинутую постоянную угрозу. Её ключевая особенность - способность проводить изощрённые атаки типа «человек посередине» прямо в браузере жертвы, манипулируя транзакциями платежной системы Pix, квитанциями Boleto и переводами в биткоинах и эфире. Этот стейллер не просто крадёт данные, а активно вмешивается в финансовые операции, оставаясь при этом почти невидимым для традиционных средств защиты.

Описание

Атака начинается с тщательно спланированной кампании вредоносной рекламы. Злоумышленники с декабря 2022 года активно используют платформу Google Ads для распространения приманок, имитирующих страницы загрузки популярных сервисов вроде WhatsApp, Google Chrome или национальной почтовой службы Correios. Однако, в отличие от массовых рассылок, GoPix действует точечно. При переходе на вредоносную страницу система сначала проверяет пользователя через легитимный сервис антифрода, анализируя множество параметров браузера и окружения. Цель - отсеять автоматические системы (боты) и песочницы (sandbox), используемые исследователями безопасности. Только если жертва признаётся «ценной целью», ей показывается следующая ловушка.

Интересно, что дальнейший вектор заражения адаптируется под установленное на компьютере защитное ПО. Сценарий проверяет, открыт ли на локальном хосте порт 27275, который используется функцией безопасного банкинга в продуктах Avast, весьма популярных в Бразилии. Если порт открыт (Avast установлен), жертве предлагается скачать ZIP-архив с ярлыком (LNK-файлом), содержащим зашифрованную команду PowerShell. Эта уловка, вероятно, обходит блокировку прямых загрузок исполняемых файлов в безопасном браузере Avast. Если же антивируса нет, пользователь получает исполняемый файл-установщик, подписанный украденным сертификатом кодовой подписи, выданным на компанию «PLK Management Limited». Этот же сертификат использовался для подписи легального программного обеспечения Driver Easy Pro, что придаёт вредоносному файлу видимость легитимности.

Вне зависимости от начального вектора, итогом становится выполнение сложного многослойного PowerShell-скрипта. Его задача - собрать информацию о системе и получить с управляющего сервера конфигурацию и модули основного вредоносного ПО. Критически важно, что основная полезная нагрузка GoPix никогда не сохраняется на диск в явном виде. Скрипт производит цепочку операций исключительно в памяти оперативной памяти (RAM), расшифровывая и загружая shellcode-загрузчик, который, в свою очередь, инжектирует финальный имплант в процесс легального браузера (Chrome, Firefox, Edge или Opera). Оба вредоносных модуля (загрузчик и основной имплант) хранятся в памяти с «затёртой» сигнатурой MZ, что сильно затрудняет их обнаружение средствами дампа памяти, ищущими признаки исполняемых PE-файлов. Эксперты отметили в своём исследовании, что авторы GoPix явно перенимают техники у классических APT-групп, делая ставку на минимальное количество артефактов на диске и резидентность в памяти.

Функционал основного модуля делает GoPix исключительно опасным. Помимо стандартного для банковских троянов мониторинга буфера обмена, он добавил в список целей данные платежей Boleto - второго по популярности в Бразилии платёжного метода, представляющего собой платёжную квитанцию. Когда пользователь копирует для оплаты типизированную строку Boleto, троянец перехватывает её и отправляет злоумышленникам. В случае с криптовалютными кошельками происходит подмена: скопированный адрес биткоин- или эфириум-кошелька жертвы автоматически заменяется в буфере обмена на адрес, контролируемый преступниками.

Однако главная инновация GoPix - это уникальная реализация атаки «человек посередине» для перехвата HTTPS-трафика прямо на компьютере жертвы. Вредоносное ПО внедряет в процесс браузера поддельный корневой сертификат, которому тот начинает доверять. Это позволяет троянцу прозрачно расшифровывать весь трафик. Для управления этим процессом GoPix использует зловредный PAC-файл (Proxy Auto-Configuration), который перенаправляет трафик на определённые домены через прокси-сервер, управляемый самим троянцем. Чтобы скрыть целевые домены банков от статического анализа, в PAC-файле используются их хеши CRC32, которые вычисляются «на лету». Более того, подключение к вредоносному прокси-серверу проверяется: троянец вычисляет контрольную сумму имени процесса, инициировавшего соединение, и сравнивает её со списком известных браузеров. Если соединение исходит не от браузера (например, от инструмента аналитика), оно немедленно разрывается.

Последствия успешного заражения GoPix для пользователей и организаций крайне серьёзны. Троянец способен не только перехватывать логины и пароли, но и манипулировать уже авторизованными сессиями в интернет-банке, изменяя реквизиты переводов в реальном времени. Это создаёт прямую финансовую угрозу как для частных лиц, так и для корпоративных клиентов и государственных финансовых органов, которые, по данным исследователей, являются избранными целями атакующих. Короткое время жизни управляющих серверов (всего несколько часов) и агрессивные механизмы самоочистки значительно осложняют работу специалистов по реагированию на инциденты.

Для защиты от подобных угроз специалистам по информационной безопасности необходимо выходить за рамки сигнатурного анализа. Эффективными мерами могут стать: строгий контроль за запуском PowerShell-скриптов с использованием, например, Constrained Language Mode, мониторинг необычной сетевой активности (особенно создание локальных прокси), анализ внедрения процессов и проверка целостности сертификатов в памяти браузерных процессов. Пользователям же следует проявлять крайнюю осторожность при переходе по рекламным ссылкам, даже из доверенных источников вроде поисковых систем, и всегда проверять адреса сайтов финансовых организаций. GoPix наглядно демонстрирует, что современные финансовые угрозы становятся всё более целевыми, скрытными и технически изощрёнными, требуя соответствующего уровня осведомлённости и защиты.