Campanha de Malvertising Mira o Sistema de Pagamento PIX do Brasil com Malware GoPIX
25 de Outubro de 2023

A popularidade do sistema brasileiro de pagamento instantâneo PIX tornou-o um alvo lucrativo para atores de ameaças que procuram gerar lucros ilícitos usando um novo malware chamado GoPIX.

A Kaspersky, que vem acompanhando a campanha ativa desde dezembro de 2022, disse que os ataques são realizados por meio de anúncios maliciosos que são exibidos quando as vítimas em potencial pesquisam "WhatsApp web" nos mecanismos de busca.

"Os cibercriminosos utilizam a técnica de malvertising: seus links são colocados na seção de anúncios dos resultados de busca, para que o usuário os veja primeiro", disse a empresa de cibersegurança russa.

"Se eles clicam em tal link, uma redireção ocorre, com o usuário acabando na página de destino do malware."

Assim como outras campanhas de malvertising recentemente observadas, os usuários que clicam no anúncio serão redirecionados por meio de um serviço de ocultação que serve para filtrar sandboxes, bots e outros que não são considerados vítimas genuínas.

Isso é feito usando uma solução legítima de prevenção de fraude conhecida como IPQualityScore para determinar se o visitante do site é humano ou bot.

Os usuários que passam na verificação são levados a uma página falsa de download do WhatsApp para enganá-los e fazer o download de um instalador malicioso.

De forma interessante, o malware pode ser baixado de dois URLs diferentes, dependendo de se a porta 27275 está aberta na máquina do usuário.

"Esta porta é usada pelo software de banking seguro Avast", explicou a Kaspersky.

"Se esse software é detectado, um arquivo ZIP é baixado contendo um arquivo LNK que incorpora um script do PowerShell ofuscado que faz o download da próxima fase."

Se a porta estiver fechada, o pacote de instalação NSIS é baixado diretamente.

Isso indica que a salvaguarda extra é configurada explicitamente para contornar o software de segurança e entregar o malware.

O principal objetivo do instalador é recuperar e lançar o malware GoPIX usando uma técnica chamada process hollowing (escavação de processo) iniciando o processo do sistema Windows svchost.exe em um estado suspenso e injetando o payload nele.

GoPIX funciona como um malware de roubo de área de transferência, que intercepta os pedidos de pagamento PIX e os substitui por uma string PIX controlada pelo invasor, que é recuperada de um servidor C2 (comando e controle).

"O malware também suporta a substituição de endereços de carteiras Bitcoin e Ethereum", disse a Kaspersky. "No entanto, eles são codificados no malware e não são recuperados do C2.

GoPIX também pode receber comandos C2, mas eles estão relacionados apenas à remoção do malware do computador."

Esta não é a única campanha a visar usuários que buscam aplicativos de mensagens como WhatsApp e Telegram nos mecanismos de pesquisa.

Em um novo conjunto de ataques concentrados na região de Hong Kong, anúncios falsos nos resultados de pesquisa do Google foram encontrados redirecionando usuários para páginas semelhantes fraudulentes, que instigam os usuários a escanear um código QR para conectar seus dispositivos.

"O problema aqui é que o código QR que você está escaneando é de um site malicioso que não tem nada a ver com o WhatsApp", disse Jérôme Segura, diretor de inteligência de ameaças da Malwarebytes, em um relatório de terça-feira.

Como resultado, o dispositivo do ator de ameaças se vincula às contas do WhatsApp das vítimas, dando ao invasor acesso total aos históricos de conversas e contatos salvos.

A Malwarebytes disse que também descobriu uma campanha semelhante que usa o Telegram como isca para atrair os usuários a fazerem o download de um instalador falsificado de uma página do Google Docs que contém malware injetor.

O desenvolvimento acontece ao mesmo tempo em que a Proofpoint revelou que uma nova versão do trojan bancário brasileiro, chamado Grandoreiro, está atacando vítimas no México e na Espanha, descrevendo a atividade como "inusual em frequência e volume".

A empresa de segurança empresarial atribuiu a campanha a um ator de ameaças que rastreia como TA2725, conhecido por usar malware bancário brasileiro e phishing para visar várias entidades no Brasil e no México.

O alvo na Espanha aponta para uma tendência emergente em que os malwares focados na América Latina estão cada vez mais mirando na Europa.

Em maio deste ano, a SentinelOne descobriu uma campanha de longo prazo realizada por um ator de ameaças brasileiro para visar mais de 30 bancos portugueses com malware ladrão.

Enquanto isso, os roubadores de informação estão florescendo na economia do cibercrime, com autores de crimeware inundando o mercado subterrâneo com ofertas de malware-as-a-service (MaaS) que fornecem aos cibercriminosos um meio conveniente e econômico de realizar ataques.

Além disso, essas ferramentas reduzem a barreira de entrada para atores de ameaças iniciantes que podem não ter eles próprios a expertise técnica.

A mais recente a se juntar ao ecossistema de ladrões é o Lumar, que foi anunciado pela primeira vez por um usuário chamado Collector em fóruns de cibercrime, comercializando suas capacidades para capturar sessões do Telegram, colher cookies e senhas do navegador, recuperar arquivos e extrair dados de carteiras cripto.

"Apesar de ter todas essas funcionalidades, o malware é relativamente pequeno em termos de tamanho (apenas 50 KB), que se deve em parte ao fato de ser escrito em C", observou a Kaspersky.

"O novo malware é frequentemente anunciado na dark web entre criminosos menos qualificados e distribuído como MaaS, permitindo que seus autores enriqueçam rapidamente e coloquem em risco organizações legítimas vez após vez."

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...