Malware GoPIX
GoPIX es un software amenazante diseñado específicamente para comprometer la plataforma de pago instantáneo Pix. En esencia, este malware funciona como un cortapelos, redirigiendo las transacciones realizadas a través de la plataforma Pix. Además, funciona como un cortapelos convencional, ampliando su alcance para incluir transacciones de criptomonedas.
GoPIX ha estado en circulación desde al menos diciembre de 2022. Dado que Pix es una plataforma de pago establecida y supervisada por el Banco Central de Brasil (BCB), su base de usuarios está compuesta predominantemente por ciudadanos brasileños. En consecuencia, las actividades de GoPIX se limitan principalmente al paisaje brasileño.
La cadena de infección de malware GoPIX
Las infecciones GoPIX se originan en sitios web amenazantes que se promocionan mediante anuncios engañosos, una técnica conocida como publicidad maliciosa, que a menudo se emplea en el envenenamiento de los motores de búsqueda. Actualmente, el malware se adquiere de una de dos fuentes, y la selección depende de si el dispositivo de la víctima tiene el puerto 27275 abierto.
Este puerto en particular suele estar asociado con un producto bancario legítimo y seguro. En los casos en que este software no esté en el sistema de destino, se recupera un paquete de instalación de NSIS que contiene scripts de PowerShell y componentes adicionales. Esto inicia la cadena de infección y, en última instancia, conduce a la implementación de GoPIX. Sin embargo, si el software específico está presente, se descarga un archivo ZIP, dentro del cual un archivo LNK contiene un script de PowerShell que impulsa aún más la cadena de infección.
Como se mencionó anteriormente, GoPIX funciona como un malware de tipo clipper. Esta categoría de malware monitorea el contenido copiado en el portapapeles (el búfer de copiar y pegar) y lo reemplaza con información diferente, alterando en última instancia lo que se pega.
En el caso de GoPIX, busca específicamente transferencias de Pix. Cuando detecta una solicitud de pago, interviene sustituyendo los datos, redirigiendo efectivamente la transacción a los ciberdelincuentes. En particular, la información utilizada por el atacante no está integrada en el malware, sino que es flexible y se recupera de un servidor de comando y control (C&C).
Además, GoPIX funciona como un cortapelos que apunta a direcciones de billeteras de criptomonedas, una variante más común. Sin embargo, en este caso las direcciones de las carteras de Bitcoin y Ethereum están predeterminadas, a diferencia de los datos de Pix, que se manipulan dinámicamente.
El malware GoPIX podría propagarse mediante anuncios fraudulentos
Se ha observado que GoPIX se propaga a través de campañas de publicidad maliciosa, que involucran específicamente una forma de envenenamiento por optimización de motores de búsqueda (SEO). Esta táctica implica manipular los principales resultados de búsqueda, normalmente anuncios, que aparecen cuando se ingresa una consulta específica en un motor de búsqueda. Estos resultados alterados redirigen a los usuarios a sitios web maliciosos.
En estos casos, la consulta de búsqueda elegida fue "WhatsApp web" y los anuncios presentados como primeros resultados condujeron o iniciaron cadenas de redireccionamiento a páginas web maliciosas. En particular, los sitios web conocidos por difundir GoPIX emplearon herramientas legítimas para filtrar a sus visitantes, asegurando que solo los usuarios genuinos pudieran acceder al contenido y frustrando a los robots. Estas páginas engañosas fueron diseñadas para parecerse al sitio web oficial de WhatsApp.
Es esencial reconocer que GoPIX también se puede distribuir mediante métodos alternativos. Las técnicas de phishing y de ingeniería social se utilizan habitualmente en la proliferación de este malware. Las vías de distribución típicas incluyen descargas ocultas, la inclusión de archivos adjuntos o enlaces maliciosos en mensajes de spam (por ejemplo, correos electrónicos, mensajes privados, mensajes de texto, etc.), estafas en línea, publicidad maliciosa, fuentes de descarga sospechosas (como software gratuito y archivos gratuitos). -plataformas de alojamiento, redes de intercambio entre pares, etc.), herramientas ilegales para descifrar software y mensajes falsos de actualización de software.
