Experții Kaspersky GReAT au identificat noi campanii, de o complexitate fără precedent, desfășurate de GoPix, un troian bancar brazilian activ de aproximativ trei ani. Malware-ul utilizează implanturi care rulează exclusiv în memorie, fișiere Proxy AutoConfig (PAC) pentru atacuri de tip man-in-the-middle și malvertising prin Google Ads pentru a viza clienții instituțiilor financiare din Brazilia și utilizatorii de criptomonede.
Infecția inițială este realizată prin campanii de malvertising: atacatorii folosesc frecvent Google Ads pentru a distribui conținut capcană, exploatând servicii populare precum WhatsApp, Google Chrome și serviciul poștal brazilian Correios, atrăgând victimele către pagini malițioase. Odată ajuns pe pagina GoPix, malware-ul utilizează sisteme legitime de evaluare a IP-urilor pentru a determina dacă vizitatorul este o țintă relevantă sau un bot dintr-un mediu de analiză malware. Dacă utilizatorul nu este considerat valoros, malware-ul nu este livrat.
GoPix este acum capabil să execute atacuri de tip man-in-the-middle, să monitorizeze tranzacțiile Pix și plățile prin Boleto, precum și să manipuleze tranzacții cu criptomonede — ceea ce îi permite să intercepteze, să monitorizeze și să modifice eficient traficul de rețea. Malware-ul ocolește în mod strategic mecanismele de securitate implementate de instituțiile financiare, menținându-și în același timp persistența și utilizând rutine avansate de „curățare” menite să îngreuneze investigațiile de tip Digital Forensics and Incident Response (DFIR).
Potrivit cercetărilor efectuate, grupul brazilian din spatele GoPix pare să adopte tehnici asociate de obicei cu grupările APT pentru a-și menține persistența și a-și ascunde malware-ul. Abordarea lor include încărcarea modulelor direct în memorie și lăsarea unor urme minime pe disc, ceea ce reduce eficiența metodelor de detecție bazate pe YARA, precum și utilizarea unor servere de comandă și control (C2) cu durată de viață foarte scurtă. Malware-ul poate, de asemenea, să comute între procese pentru a îndeplini funcții specifice și, în unele cazuri, să dezactiveze software-ul de securitate.
Citiți raportul complet pe Securelist.com.
Pentru a reduce riscul asociat troienilor bancari precum GoPix, experții Kaspersky GReAT recomandă:
- Fiți precauți atunci când dați click pe reclame în timpul navigării pe internet, pentru a evita accesarea paginilor malițioase. Dacă sunteți interesat de o aplicație, este mai sigur să o descărcați din magazinul oficial de aplicații.
- Utilizați o soluție completă de protecție digitală pentru a securiza tranzacțiile financiare — aceasta verifică autenticitatea sistemelor de plată online și a site-urilor bancare cunoscute.
- Mențineți toate programele de pe computer actualizate.
- Fiți vigilenți atunci când aplicați actualizări.
- Descărcați software doar din surse oficiale și evitați pachetele opționale suplimentare.
