恶意广告活动利用 GoPIX 恶意软件瞄准巴西 PIX 支付系统

巴西 PIX 即时支付系统的普及使其成为威胁行为者的有利可图的目标，他们希望利用名为 GoPIX 的新型恶意软件获取非法利润。

Kaspersky,一家从2022 年 12 月以来一直在跟踪活跃活动的组织说，“这些攻击是通过潜在受害者在搜索引擎上搜索“WhatsApp web”时投放的恶意广告发起的。”

一家俄罗斯网络安全公司说，“网络犯罪分子采用恶意广告：他们的链接被放置在搜索结果的广告部分，因此用户首先看到它们， 如果他们点击这样的链接，就会发生重定向，用户最终会进入恶意软件登陆页面。”

正如最近观察到的其他恶意广告活动一样，点击广告的用户将通过隐藏服务进行重定向，该服务旨在过滤沙箱、机器人和其他不被视为真正受害者的内容。

这是通过使用称为 IPQualityScore 的合法欺诈预防解决方案来确定网站访问者是人类还是机器人来实现的。 通过检查的用户会看到一个虚假的 WhatsApp 下载页面，诱骗他们下载恶意安装程序。

有趣的是，可以从两个不同的 URL 下载恶意软件，具体取决于用户计算机上的端口 27275 是否打开。

Kaspersky解释说：“该端口由 Avast 安全银行软件使用。” “如果检测到该软件，则会下载一个 ZIP 文件，其中包含一个 LNK 文件，该文件嵌入了混淆的 PowerShell 脚本，该脚本将下载下一阶段。”

如果端口关闭，则直接下载 NSIS 安装程序包。 这表明额外的防护栏是明确设置的，旨在绕过安全软件并传播恶意软件。

安装程序的主要目的是使用一种称为进程空洞的技术来检索和启动 GoPIX 恶意软件，方法是在挂起状态下启动 svchost.exe Windows 系统进程并向其中注入有效负载。

GoPIX 充当剪贴板窃取恶意软件，劫持 PIX 支付请求并将其替换为攻击者控制的 PIX 字符串，该字符串是从命令和控制 (C2) 服务器检索的。

Kaspersky表示：“该恶意软件还支持替换比特币和以太坊钱包地址。” “但是，这些是硬编码在恶意软件中的，而不是从 C2 检索的。GoPIX 也可以接收 C2 命令，但这些命令仅与从计算机中删除恶意软件有关。”

这并不是唯一针对在搜索引擎上搜索 WhatsApp 和 Telegram 等消息应用程序的用户的活动。

在集中在香港地区的一系列新攻击中，谷歌搜索结果上的虚假广告被发现将用户重定向到欺诈性的相似页面，敦促用户扫描二维码以链接他们的设备。

Malwarebytes 威胁情报总监杰罗姆·塞古拉 (Jérôme Segura) 在周二的一份报告中表示：“这里的问题是，你正在扫描的二维码来自与 WhatsApp 无关的恶意网站。”

因此，威胁行为者的设备会链接到受害者的 WhatsApp 帐户，从而使恶意方能够完全访问他们的聊天历史记录和保存的联系人。

Malwarebytes 表示，它还发现了类似的活动，该活动使用 Telegram 作为诱饵，诱使用户从包含注入器恶意软件的 Google Docs 页面下载假冒安装程序。

Proofpoint 透露，名为 Grandoreiro 的新版本巴西银行木马正在针对墨西哥和西班牙的受害者，并将该活动描述为“频率和数量不同寻常”。

该企业安全公司将该活动归因于其追踪的威胁行为者 TA2725，该威胁行为者因使用巴西银行恶意软件和网络钓鱼来挑出巴西和墨西哥的各个实体而闻名。

以西班牙为目标表明了一种新兴趋势，即针对拉丁美洲的恶意软件越来越多地将目光投向欧洲。 今年 5 月初，SentinelOne 发现巴西威胁行为者开展了一项长期活动，利用窃取恶意软件攻击 30 多家葡萄牙银行。

与此同时，信息窃取者在网络犯罪经济中蓬勃发展，犯罪软件作者通过恶意软件即服务 (MaaS) 产品涌入地下市场，为网络犯罪分子提供了便捷且经济高效的攻击手段。

更重要的是，此类工具降低了那些本身可能缺乏技术专业知识的有抱负的威胁行为者的进入门槛。

最新加入窃取者生态系统的是 Lumar，它于 2023 年 7 月首次由一位名为 Collector 的用户在网络犯罪论坛上做广告，宣传其捕获 Telegram 会话、收集浏览器 cookie 和密码、检索文件以及从加密钱包中提取数据的功能。

卡巴斯基指出：“尽管具有所有这些功能，但该恶意软件的大小相对较小（仅 50 KB），部分原因是它是用 C 语言编写的。”

“新兴恶意软件经常在暗网上向技术水平较低的犯罪分子做广告，并以 MaaS 的形式分发，使其作者能够快速致富，并一次又一次地危害合法组织。”