Бразильские пользователи WhatsApp массово лишаются своих накоплений: в чём же секрет вредоноса GoPIX

Быстрорастущая популярность бразильской системы мгновенных платежей PIX привлекла внимание киберпреступников, которые начали использовать новое вредоносное ПО «GoPIX» для незаконного извлечения прибыли.

«Лаборатория Касперского», отслеживавшая рассматриваемую вредоносную кампанию с декабря 2022 года, сообщила , что атаки происходят посредством вредоносной рекламы, показываемой пользователям, которые ищут «WhatsApp Web» в поисковых системах. При клике на такую рекламу пользователь перенаправляется на страницу с вредоносным ПО.

Как уже неоднократно наблюдалось в других рекламных кампаниях, пользователи, которые нажимают на фишинговое объявление, перенаправляются через службу маскировки, предназначенную для фильтрации «песочниц», ботов и других лиц, которые подходят по критериям настоящих жертв.

Интересно, что вредоносная программа может быть загружена сразу с двух разных URL-адресов в зависимости от того, открыт ли порт 27275 на компьютере пользователя.

«Этот порт используется программным обеспечением Avast Safe Banking. При обнаружении этого программного обеспечения загружается ZIP-файл, содержащий LNK-файл, в который встроен запутанный скрипт PowerShell, который и загружает следующий этап заражения».

В случае закрытия порта загружается установочный пакет NSIS. Это указывает на то, что дополнительная защита настроена явно для обхода программного обеспечения безопасности и доставки вредоносного ПО.

Основная цель программы установки — извлечь и активировать зловредную программу GoPIX, используя метод, называемый «Process Hollowing». Хакеры запускают системный процесс «svchost.exe» в приостановленном состоянии и вводят в него вредоносный код.

GoPIX функционирует как вредоносное ПО, крадущее данные из буфера обмена. Оно перехватывает запросы на платежи PIX и заменяет их данными, контролируемыми злоумышленниками.

«Вредоносное ПО также поддерживает подмену адресов кошельков Bitcoin и Ethereum», — сообщили исследователи. «Однако они жёстко закодированы во вредоносном ПО и не извлекаются с сервера управления».

Стоит отметить, что рассмотренная «Лабораторией Касперского» кампания — далеко не единственная, нацеленная на пользователей, которые ищут в поисковых системах веб-версии мессенджеров WhatsApp или Telegram.

Так, в недавней кампании, обнаруженной специалистами Malwarebytes в Гонконге, злоумышленники пытались заставить пользователей сканировать QR-коды для входа в веб-версию WhatsApp на специально созданных фишинговых страницах, в результате чего хакеры получали полный доступ к истории чатов и сохранённым контактам жертв.

Подобные истории служат напоминанием о том, что киберпреступники быстро адаптируются и используют новые возможности для обмана людей. Как бы полезна ни была та или иная технология, её легко можно использовать во вред, воспользовавшись человеческой невнимательностью.

Всегда помните об опасностях в сети и проявляйте повышенную бдительность, чтобы не попасться на крючок киберпреступников.