Com o aumento da popularidade do PIX, o sistema de pagamento instantâneo tornou-se alvo de atores de ameaças. A nova investida? Um malware apelidado de GoPIX.
Corrida Contra o PIX
Monitorando uma campanha em andamento desde dezembro de 2022, a Kaspersky identificou ataques realizados através de anúncios maliciosos. Estes surgem quando usuários procuram por “WhatsApp web” em motores de busca.
Os cibercriminosos adotaram uma estratégia astuta, como explica a Kaspersky: “Os anúncios maliciosos aparecem na seção de anúncios dos resultados de pesquisa, sendo geralmente os primeiros a serem vistos pelo usuário”. Aqueles que clicam são redirecionados para a página do malware, após um filtro inteligente que distingue vítimas genuínas de bots e sandboxes.
O modus operandi é sofisticado. Usando a ferramenta legítima IPQualityScore, os criminosos determinam a natureza do visitante do site. Os “escolhidos” são conduzidos a uma página de download falso do WhatsApp, uma isca para fazer o download de um instalador mal-intencionado. O malware, então, pode vir de duas URLs diferentes, dependendo da configuração de segurança do usuário.
O objetivo? Injetar o malware GoPIX, especializado em roubar informações da área de transferência, focando especificamente em solicitações de pagamento PIX. O malware modifica essas solicitações, substituindo-as pelo PIX do atacante.
Outras Campanhas Similares
Essa abordagem não é exclusiva. Jérôme Segura da Malwarebytes compartilha uma tendência semelhante em Hong Kong, onde QR codes maliciosos vinculam dispositivos de atores de ameaças às contas do WhatsApp de suas vítimas.
E, há mais. Grandoreiro, um trojan bancário originário do Brasil, agora expande suas garras para México e Espanha. O aumento desse tipo de ataque sugere uma tendência preocupante, onde malwares da América Latina estão se voltando também para a Europa.
Malwares Como Serviço
Os criminosos cibernéticos estão se beneficiando da economia do cibercrime. Ofertas de malware-as-a-service (MaaS) inundam o mercado underground, tornando mais fácil para novatos se aventurarem no mundo do cibercrime.
Um exemplo recente é o Lumar, que se juntou ao mercado stealer. Promovido por um usuário chamado Collector em fóruns de cibercrime, seu objetivo é capturar sessões, cookies, senhas e até mesmo dados de carteiras criptográficas. A Kaspersky observa: “Este malware, escrito em C, é compacto, com apenas 50 KB. E, ainda assim, potente”.
Tenha Cuidado
Os cibercriminosos continuam aprimorando suas técnicas, mirando sistemas populares e explorando pontos fracos de segurança. A batalha no ciberespaço está em constante evolução, com atores de ameaças encontrando novas maneiras de capitalizar em cima de inovações tecnológicas legítimas. A vigilância e a educação são essenciais para se proteger contra essas ameaças crescentes.
Fonte: https://securelist.com/crimeware-report-gopix-lumar-rhysida/110871/
Sou um profissional na área de Tecnologia da informação, especializado em monitoramento de ambientes, Sysadmin e na cultura DevOps. Possuo certificações de Segurança, AWS e Zabbix.