Investigadores de seguridad de la compañía internacional karspesky, dio a conocer el sofisticado ataque del sistema de pago instantáneo PIX en el que, los actores de amenazas, buscan ganancias ilícitas atraves de un nuevo malware conocido como GoPIX. Según lo informado por la organización, la campaña se mantiene activa desde el año 2022, mediante anuncios maliciosos que aparecen cuando las victimas buscan WhatsApp web en los motores de búsqueda. Al hacer click en el enlace, se produce una redirección y el usuario termina en la pagina de inicio del malware.

GoPIX funciona utilizando una técnica llamada vaciado de procesos, iniciándolo en el sistema Windows svchost.exe, en un estado suspendido para inyectar la carga útil en él.  Luego de esto, el malware actúa robando el portapapeles y secuestrando las solicitudes de pago de PIX y las reemplaza con una cadena controlada por el atacante, a través de un servidor de comando y control (C2).

El malware también, admite la sustitución de direcciones de billetera Bitcoin y Ethereum, dijo Kaspersky, sin embargo, estos están codificados en el malware y no se recuperan del C2.

En otra serie de ataques ocurridos en la región de Hong Kong, se descubrió anuncios falsos en los resultados de búsqueda de Google, los cuales, operan redirigiendo a los usuarios a páginas similares fraudulentas donde los instan a escanear un código QR para vincular sus dispositivos.

Como resultado, el dispositivo del atacante se vincula a las cuentas de WhatsApp de la víctima, lo que le otorga acceso completo a sus historiales de chat y contactos guardados.

La firma de seguridad empresarial ha atribuido la campaña, a un actor de amenazas al que rastrea como TA2725, conocido por utilizar el malware y además, mediante el phishing, identificar a varias entidades en Brasil y México.

A pesar de tener todas estas funcionalidades, el malware es relativamente pequeño en términos de tamaño (sólo 50 KB), lo que se debe en parte, a que se encuentra escrito en C y, a menudo, se anuncia en la web oscura entre delincuentes menos hábiles distribuyéndose como MaaS, lo que permite a sus autores, enriquecerse rápidamente y poner en peligro una y otra vez a organizaciones legítimas.

Fuente

https://thehackernews.com/2023/10/malvertising-campaign-targets-brazils.html