La popularité du Brésil PIX Le système de paiement instantané en a fait une cible lucrative pour les acteurs malveillants cherchant à générer des profits illicites à l’aide d’un nouveau malware appelé GoPIX.
Kaspersky, qui suit la campagne active depuis décembre 2022, a déclaré que les attaques sont menées à l’aide de publicités malveillantes diffusées lorsque les victimes potentielles recherchent « WhatsApp Web » sur les moteurs de recherche.
« Les cybercriminels utilisent la publicité malveillante : leurs liens sont placés dans la section publicitaire des résultats de recherche, de sorte que l’utilisateur les voit en premier », explique l’éditeur russe de cybersécurité. dit. « S’ils cliquent sur un tel lien, une redirection s’ensuit, l’utilisateur se retrouvant sur la page d’accueil du malware. »
Comme d’autres campagnes de publicité malveillante l’ont observé récemment, les utilisateurs qui cliquent sur l’annonce seront redirigés via un service de masquage destiné à filtrer les bacs à sable, les robots et autres qui ne sont pas considérés comme de véritables victimes.
Ceci est accompli en utilisant une solution légitime de prévention de la fraude connue sous le nom de Score de qualité IP pour déterminer si le visiteur du site est un humain ou un robot. Les utilisateurs qui réussissent le contrôle voient apparaître une fausse page de téléchargement de WhatsApp pour les inciter à télécharger un programme d’installation malveillant.
Chose intéressante, le malware peut être téléchargé à partir de deux URL différentes selon que le port 27275 est ouvert ou non sur la machine de l’utilisateur.
« Ce port est utilisé par le logiciel bancaire sécurisé Avast », a expliqué Kaspersky. « Si ce logiciel est détecté, un fichier ZIP est téléchargé contenant un fichier LNK intégrant un script PowerShell obscurci qui télécharge l’étape suivante. »
Si le port est fermé, le package d’installation NSIS est directement téléchargé. Cela indique que le garde-fou supplémentaire est explicitement configuré pour contourner le logiciel de sécurité et diffuser le logiciel malveillant.
L’objectif principal du programme d’installation est de récupérer et de lancer le malware GoPIX à l’aide d’une technique appelée processus de creusement en démarrant le svchost.exe Processus système Windows dans un état suspendu et y injectant la charge utile.
GoPIX fonctionne comme un malware voleur de presse-papiers qui détourne les demandes de paiement PIX et les remplace par une chaîne PIX contrôlée par un attaquant, qui est récupérée à partir d’un serveur de commande et de contrôle (C2).
« Le malware prend également en charge la substitution des adresses de portefeuille Bitcoin et Ethereum », a déclaré Kaspersky. « Cependant, celles-ci sont codées en dur dans le malware et ne sont pas récupérées du C2. GoPIX peut également recevoir des commandes C2, mais celles-ci sont uniquement liées à la suppression du malware de la machine. »
Ce n’est pas la seule campagne ciblant les utilisateurs recherchant des applications de messagerie comme WhatsApp et Telegram sur les moteurs de recherche.
Dans une nouvelle série d’attaques concentrées dans la région de Hong Kong, de fausses publicités dans les résultats de recherche Google ont été découvertes pour rediriger les utilisateurs vers des pages frauduleuses similaires qui incitent les utilisateurs à scanner un code QR pour relier leurs appareils.
« Le problème ici est que le code QR que vous scannez provient d’un site malveillant qui n’a rien à voir avec WhatsApp », Jérôme Segura, directeur de la veille sur les menaces chez Malwarebytes, dit dans un rapport de mardi.
En conséquence, l’appareil de l’acteur malveillant est lié aux comptes WhatsApp de la victime, accordant à la partie malveillante un accès complet à ses historiques de discussion et à ses contacts enregistrés.
Malwarebytes a déclaré avoir également découvert une campagne similaire qui utilise Telegram comme leurre pour inciter les utilisateurs à télécharger un programme d’installation contrefait à partir d’une page Google Docs contenant malware d’injection.
Ce développement intervient alors que Proofpoint a révélé qu’une nouvelle version du Cheval de Troie bancaire brésilien surnommé Grandoreiro cible des victimes au Mexique et en Espagne, décrivant l’activité comme « inhabituelle en fréquence et en volume ».
L’entreprise de sécurité d’entreprise a attribué la campagne contre un acteur menaçant qu’il suit sous le nom de TA2725, connu pour utiliser des logiciels malveillants bancaires brésiliens et du phishing pour identifier diverses entités au Brésil et au Mexique.
Le ciblage de l’Espagne témoigne d’une tendance émergente selon laquelle les logiciels malveillants ciblant l’Amérique latine se tournent de plus en plus vers l’Europe. Plus tôt en mai dernier, SentinelOne a découvert une campagne de longue durée entreprise par un acteur malveillant brésilien visant à cibler plus de 30 banques portugaises avec des logiciels malveillants.
Pendant ce temps, les voleurs d’informations prospèrent dans l’économie de la cybercriminalité, les auteurs de logiciels criminels inondant le marché clandestin d’offres de logiciels malveillants en tant que service (MaaS) qui fournissent aux cybercriminels un moyen pratique et rentable de mener des attaques.
De plus, ces outils abaissent les barrières à l’entrée pour les aspirants acteurs de la menace qui peuvent eux-mêmes manquer d’expertise technique.
Le dernier à rejoindre l’écosystème des voleurs est Lumar, qui a été annoncé pour la première fois par un utilisateur nommé Collector sur des forums de cybercriminalité, commercialisant ses capacités pour capturer des sessions Telegram, récolter des cookies et des mots de passe de navigateur, récupérer des fichiers et extraire des données de portefeuilles cryptographiques.
« Malgré toutes ces fonctionnalités, le malware est relativement petit en termes de taille (seulement 50 Ko), ce qui est en partie dû au fait qu’il est écrit en C », a noté Kaspersky.
« Les logiciels malveillants émergents sont souvent annoncés sur le dark web auprès de criminels moins qualifiés et distribués sous forme de MaaS, permettant à leurs auteurs de s’enrichir rapidement et de mettre en danger encore et encore les organisations légitimes. »