Com a crescente popularidade do sistema de pagamento instantâneo PIX no Brasil, os cibercriminosos encontraram uma nova oportunidade para atacar usuários em potencial. Um malware chamado GoPIX tem sido identificado como a principal ameaça nesse cenário.
A Kaspersky, empresa de segurança cibernética, vem rastreando essa campanha desde dezembro de 2022. De acordo com suas descobertas, os ataques são conduzidos por meio de anúncios maliciosos que aparecem quando possíveis vítimas procuram por "WhatsApp web" em mecanismos de busca.
Esses anúncios maliciosos são inseridos na seção de anúncios dos resultados da pesquisa, garantindo que o usuário os veja primeiro. Ao clicar em um desses links, ocorre uma redireção para a página de instalação do malware.
Ao contrário de outras campanhas de malvertising, os usuários que clicam no anúncio são redirecionados por meio de um serviço de ocultação destinado a filtrar sandboxes, bots e outros que não são considerados vítimas genuínas.
Essa filtragem é realizada por meio de uma solução legítima de prevenção contra fraudes conhecida como IPQualityScore, que determina se o visitante do site é um humano ou um bot. Aqueles que passam na verificação são apresentados a uma página falsa de download do WhatsApp, na tentativa de induzi-los a baixar um instalador malicioso.
De maneira intrigante, o malware pode ser baixado de dois URLs diferentes, dependendo se a porta 27275 está aberta no dispositivo do usuário. Essa porta é normalmente usada pelo software de segurança bancária Avast. Se detectado, um arquivo ZIP é baixado, contendo um arquivo LNK que incorpora um script PowerShell ofuscado que realiza o próximo estágio do ataque.
Caso a porta esteja fechada, o pacote de instalação NSIS é baixado diretamente. Isso sugere que essa camada adicional é especificamente configurada para contornar o software de segurança e entregar o malware.
O objetivo principal do instalador é obter e iniciar o malware GoPIX, usando uma técnica chamada "process hollowing". Isso é feito iniciando o processo do sistema Windows svchost.exe em estado suspenso e injetando o payload nele.
VEJA TAMBÉM: Zero Trust e SASE: O Futuro da Segurança Cibernética
O GoPIX atua como um malware de roubo de área de transferência, interceptando solicitações de pagamento PIX e substituindo-as por uma string PIX controlada pelo atacante, obtida de um servidor de comando e controle (C2).
Além do GoPIX, outras campanhas têm como alvo usuários que procuram por aplicativos de mensagens como WhatsApp e Telegram em mecanismos de busca. Por exemplo, na região de Hong Kong, anúncios falsos nos resultados de pesquisa do Google redirecionam os usuários para páginas fraudulentas que os induzem a escanear um código QR para conectar seus dispositivos.
Esse tipo de ataque pode resultar na vinculação do dispositivo da vítima à conta de WhatsApp do atacante, concedendo acesso completo ao histórico de conversas e contatos salvos.
Esses eventos destacam a necessidade crescente de vigilância e medidas proativas de segurança cibernética. Empresas e usuários devem estar cientes dessas ameaças e adotar práticas recomendadas de segurança para proteger suas informações e sistemas contra ataques maliciosos.
Fique atento ao nosso blog para obter mais atualizações e dicas sobre segurança cibernética e tecnologia da informação. A International IT está comprometida em fornecer soluções e serviços de alta qualidade para proteger sua organização contra ameaças cibernéticas.
Entre em contato conosco e descubra como podemos ajudá-lo a proteger o seu negócio!
Transforme seu Negócio com Tecnologia de Ponta: Agende sua Tech Demo!