Expertii Kaspersky GReAT au identificat noi campanii, de o complexitate fara precedent, desfasurate de GoPix, un troian bancar brazilian activ de aproximativ trei ani. Malware-ul utilizeaza implanturi care ruleaza exclusiv în memorie, fisiere Proxy AutoConfig (PAC) pentru atacuri de tip man-in-the-middle si malvertising prin Google Ads pentru a viza clientii institutiilor financiare din Brazilia si utilizatorii de criptomonede.
Infectia initiala este realizata prin campanii de malvertising: atacatorii folosesc frecvent Google Ads pentru a distribui continut capcana, exploatand servicii populare precum WhatsApp, Google Chrome si serviciul postal brazilian Correios, atragand victimele catre pagini malitioase. Odata ajuns pe pagina GoPix, malware-ul utilizeaza sisteme legitime de evaluare a IP-urilor pentru a determina daca vizitatorul este o tinta relevanta sau un bot dintr-un mediu de analiza malware. Daca utilizatorul nu este considerat valoros, malware-ul nu este livrat.
GoPix este acum capabil sa execute atacuri de tip man-in-the-middle, sa monitorizeze tranzactiile Pix si platile prin Boleto, precum si sa manipuleze tranzactii cu criptomonede — ceea ce îi permite sa intercepteze, sa monitorizeze si sa modifice eficient traficul de retea. Malware-ul ocoleste în mod strategic mecanismele de securitate implementate de institutiile financiare, mentinandu-si în acelasi timp persistenta si utilizand rutine avansate de „curatare” menite sa îngreuneze investigatiile de tip Digital Forensics and Incident Response (DFIR).
Potrivit cercetarilor efectuate, grupul brazilian din spatele GoPix pare sa adopte tehnici asociate de obicei cu gruparile APT pentru a-si mentine persistenta si a-si ascunde malware-ul. Abordarea lor include încarcarea modulelor direct în memorie si lasarea unor urme minime pe disc, ceea ce reduce eficienta metodelor de detectie bazate pe YARA, precum si utilizarea unor servere de comanda si control (C2) cu durata de viata foarte scurta. Malware-ul poate, de asemenea, sa comute între procese pentru a îndeplini functii specifice si, în unele cazuri, sa dezactiveze software-ul de securitate.
Cititi raportul complet pe Securelist.com.
Pentru a reduce riscul asociat troienilor bancari precum GoPix, expertii Kaspersky GReAT recomanda:
- Fiti precauti atunci cand dati click pe reclame în timpul navigarii pe internet, pentru a evita accesarea paginilor malitioase. Daca sunteti interesat de o aplicatie, este mai sigur sa o descarcati din magazinul oficial de aplicatii.
- Utilizati o solutie completa de protectie digitala pentru a securiza tranzactiile financiare — aceasta verifica autenticitatea sistemelor de plata online si a site-urilor bancare cunoscute.
- Mentineti toate programele de pe computer actualizate.
- Fiti vigilenti atunci cand aplicati actualizari.
- Descarcati software doar din surse oficiale si evitati pachetele optionale suplimentare.
COMMENTS