Trojanac GoPix napada klijente finansijskih institucija

Stručnjaci iz tima Kaspersky GReAT identifikovali su nove kampanje brazilskog bankarskog trojanca GoPix koje karakteriše do sada nepoznata složenost.

 

Ovaj zlonamrvni softver  je aktivan poslednje tri godine i koristi implantate koji funkcionišu isključivo u memoriji, Proxy AutoConfig (PAC) fajlove za napade tipa „čovek u sredini“ (man-in-the-middle) i zlonamerno oglašavanje putem Google Ads-a kako bi ciljao klijente brazilskih finansijskih institucija i korisnike kriptovaluta.

Početna infekcija ostvaruje se kroz zlonamerno oglašavanje (malvertising): akteri pretnje često koriste Google Ads za distribuciju mamaca zloupotrebljavajući popularne servise kao što su WhatsApp, Google Chrome i brazilska poštanska služba Correios, navodeći žrtve na zlonamerne landing stranice. Kada korisnik dospe na GoPix landing stranicu, maliciozni softver koristi legitimne sisteme za ocenjivanje IP adresa kako bi utvrdio da li je posetilac potencijalno vredna meta ili bot koji radi u okruženju za analizu zlonamernog softvera. Ako se proceni da korisnik nije vredna meta, maliciozni softver se ne isporučuje.

„GoPix je dostigao nivo sofisticiranosti kakav do sada nije viđen kod zlonamernog softvera. Ovu pretnju pratimo od 2023. godine; ona je i dalje veoma aktivna, a broj detekcija stalno raste svake godine: zaključno sa martom 2026. godine već je zabeleženo ukupno 90.000 pokušaja infekcije. Pretnja koristi prikrivene metode infekcije i izbegava detekciju od strane bezbednosnog softvera, primenjujući nove tehnike kako bi ostala operativna“, rekao je Fabio Assolini, rukovodilac jedinica za Ameriku i Evropu u okviru Kaspersky GReAT-a.

GoPix je sada sposoban da izvršava napade tipa „čovek u sredini“ (man-in-the-middle), nadgleda Pix transakcije i Boleto uplatnice, kao i da manipuliše transakcijama kriptovaluta — što omogućava GoPix-u da efikasno presreće, nadgleda i manipuliše mrežnim saobraćajem. Zlonamerni softver strateški zaobilazi bezbednosne mehanizme koje su implementirale finansijske institucije, istovremeno održavajući postojanost u sistemu i koristeći robusne rutine čišćenja osmišljene da otežaju napore digitalne forenzike i reagovanja na incidente (DFIR).

Prema sprovedenom istraživanju, čini se da brazilska grupa koja stoji iza GoPix-a usvaja tehnike koje se obično povezuju sa APT grupama kako bi održala postojanost i prikrila svoj zlonamerni softver. Njihov pristup uključuje učitavanje modula direktno u memoriju i ostavljanje minimalnih artefakata na disku, što smanjuje efikasnost lova na pretnje zasnovanog na YARA pravilima, kao i korišćenje C2 servera sa veoma kratkim životnim vekom. Zlonamerni softver takođe može da prelazi između procesa kako bi obavljao određene funkcije i potencijalno onemogućio bezbednosni softver.

Pročitajte ceo izveštaj na Securelist.com.

Da bi se smanjio rizik od bankarskih trojanaca poput GoPix-a, stručnjaci iz Kaspersky GReAT-a preporučuju:

• Budite oprezni prilikom klikanja na oglase dok surfujete internetom kako biste izbegli pristup zlonamernim odredišnim stranicama. Ako ste zainteresovani za neku aplikaciju, bezbednije je da je preuzmete iz zvanične prodavnice aplikacija.
• Koristite sveobuhvatno rešenje za digitalnu zaštitu kako biste obezbedili svoje finansijske transakcije — ono proverava autentičnost poznatih sistema za onlajn plaćanje i bankarskih veb-sajtova.
• Održavajte sav softver na računaru ažurnim.
• Budite oprezni prilikom primene ažuriranja.
• Preuzimajte softver samo iz zvaničnih izvora i izbegavajte opcione dodatne pakete.

 
Image by Gerd Altmann, Pixaba