Троян GoPix три года крадёт деньги из памяти компьютеров
3 мин
12
Банковский троян GoPix представляет опасность для клиентов банков в Бразилии уже более трёх лет и до сих пор остаётся активен. Эксперты «Лаборатории Касперского» назвали его самым продвинутым банковским трояном, который когда-либо обнаруживали в Бразилии.
GoPix функционирует исключительно в оперативной памяти, использует обфусцированные PowerShell-скрипты и почти не оставляет следов на диске. Разработавшие его явно копируют тактику APT-группировок с загрузкой модулей в память и минимумом артефактов.
Троян используется для совершения атак man-in-the-middle, отслеживает транзакции через платёжную систему Pix, копирует данные квитанций Boleto — второго по популярности способа оплаты в Бразилии, подменяет адреса криптокошельков. Вредоносное ПО успешно обходит защиту финансовых организаций и успешно маскирует следы своей активности, что затрудняет его обнаружение.
GoPix распространяют через вредоносную рекламу в Google Ads, а также маскируют под установщики WhatsApp (принадлежит компании Meta, чья деятельность признана экстремистской и запрещена в РФ), Chrome и бразильской почтовой службы Correios. Кампания с распространением вредоноса была впервые обнаружена в декабре 2022 года. Жертв тщательно выбирают через легитимные антифрод-сервисы, отдавая предпочтение финансовым структурам правительств и крупным корпорациям.
Вредонос проверяет наличие Avast через порт 27275. В случае его обнаружения жертва получает ZIP с LNK-файлом. При отсутствии происходит загрузка NSIS-установщика, подписанного украденным сертификатом. После запуска вредонос загружает PowerShell-скрипт с сервера. Скрипт собирает сведения о системе и получает JSON с модулями. Один из скриптов расшифровывает следующий непосредственно в памяти через stdin, не сохраняя каких-либо данных на диске.
Существуют варианты шелл-кода под x86 и x64. В новых версиях атакующие заменили имена API на хеширование. У DLL в памяти удалена сигнатура MZ, что позволяет обойти дамп. Загрузчик проверяет запуск в Explorer.ex, затем ищет браузеры в реестре, запускает выбранный в приостановленном состоянии и внедряет код GoPix через системные вызовы. Основной имплант отслеживает состояние буфера обмена. При копировании адреса Bitcoin или Ethereum вредонос заменяет его адресом атакующих.
Для man-in-the-middle GoPix использует PAC-файлы по-новому. Вместо редиректа на фишинговый ресурс манипулирует трафиком непосредственно на легитимном сайте банка. Целевые сайты троян скрывает через CRC32, а при соединении с прокси проверяет процесс-инициатор. Если соединение установлено не с браузером, оно разрывается.
Для обхода HTTPS GoPix внедряет доверенный сертификат в память браузера, что позволяет перехватывать зашифрованный трафик. Сертификат невидим для системных инструментов. GoPix использует командные серверы с коротким сроком жизни, которые доступны онлайн лишь в течение нескольких часов. Он также может переключаться между процессами и отключать защитный софт.
