Experții Kaspersky GReAT au identificat noi campanii, de o complexitate fără precedent, desfășurate de GoPix, un troian bancar brazilian activ de aproximativ trei ani. Malware-ul utilizează implanturi care rulează exclusiv în memorie, fișiere Proxy AutoConfig (PAC) pentru atacuri de tip man-in-the-middle și malvertising prin Google Ads pentru a viza clienții instituțiilor financiare din Brazilia și utilizatorii de criptomonede.
Infecția inițială este realizată prin campanii de malvertising: atacatorii folosesc frecvent Google Ads pentru a distribui conținut capcană, exploatând servicii populare precum WhatsApp, Google Chrome și serviciul poștal brazilian Correios, atrăgând victimele către pagini malițioase. Odată ajuns pe pagina GoPix, malware-ul utilizează sisteme legitime de evaluare a IP-urilor pentru a determina dacă vizitatorul este o țintă relevantă sau un bot dintr-un mediu de analiză malware. Dacă utilizatorul nu este considerat valoros, malware-ul nu este livrat.
GoPix este acum capabil să execute atacuri de tip man-in-the-middle, să monitorizeze tranzacțiile Pix și plățile prin Boleto, precum și să manipuleze tranzacții cu criptomonede — ceea ce îi permite să intercepteze, să monitorizeze și să modifice eficient traficul de rețea. Malware-ul ocolește în mod strategic mecanismele de securitate implementate de instituțiile financiare, menținându-și în același timp persistența și utilizând rutine avansate de „curățare” menite să îngreuneze investigațiile de tip Digital Forensics and Incident Response (DFIR).
Potrivit cercetărilor efectuate, grupul brazilian din spatele GoPix pare să adopte tehnici asociate de obicei cu grupările APT pentru a-și menține persistența și a-și ascunde malware-ul. Abordarea lor include încărcarea modulelor direct în memorie și lăsarea unor urme minime pe disc, ceea ce reduce eficiența metodelor de detecție bazate pe YARA, precum și utilizarea unor servere de comandă și control (C2) cu durată de viață foarte scurtă. Malware-ul poate, de asemenea, să comute între procese pentru a îndeplini funcții specifice și, în unele cazuri, să dezactiveze software-ul de securitate.
Citiți raportul complet pe Securelist.com.
Pentru a reduce riscul asociat troienilor bancari precum GoPix, experții Kaspersky GReAT recomandă:
- Fiți precauți atunci când dați click pe reclame în timpul navigării pe internet, pentru a evita accesarea paginilor malițioase. Dacă sunteți interesat de o aplicație, este mai sigur să o descărcați din magazinul oficial de aplicații.
- Utilizați o soluție completă de protecție digitală pentru a securiza tranzacțiile financiare — aceasta verifică autenticitatea sistemelor de plată online și a site-urilor bancare cunoscute.
- Mențineți toate programele de pe computer actualizate.
- Fiți vigilenți atunci când aplicați actualizări.
- Descărcați software doar din surse oficiale și evitați pachetele opționale suplimentare.
Despre Kaspersky
Kaspersky este o companie globală de securitate cibernetică și confidențialitate digitală, fondată în 1997. Cu peste un miliard de dispozitive protejate până în prezent împotriva amenințărilor cibernetice emergente și a atacurilor direcționate, expertiza Kaspersky în domeniul informațiilor aprofundate privind amenințările și al securității se transformă constant în soluții și servicii inovatoare pentru protecția persoanelor fizice, a companiilor, a infrastructurii critice și a guvernelor din întreaga lume. Portofoliul complet de securitate al companiei include protecție digitală de top pentru dispozitivele personale, produse și servicii de securitate specializate pentru companii, precum și soluții Cyber Immune pentru a combate amenințările digitale sofisticate și în continuă evoluție. Ajutăm milioane de persoane și aproape 200.000 de clienți corporativi să protejeze ceea ce contează cel mai mult pentru ei. Aflați mai multe pe www.kaspersky.com
