De populariteit van het Braziliaanse PIX-systeem voor directe betaling heeft het tot een lucratief doelwit gemaakt voor bedreigingsactoren die illegale winsten willen genereren met behulp van een nieuwe malware genaamd GoPIX.
Kaspersky, dat de actieve campagne sinds december 2022 volgt, zei dat de aanvallen worden uitgevoerd met behulp van kwaadaardige advertenties die worden weergegeven wanneer potentiële slachtoffers in zoekmachines naar ‘WhatsApp web’ zoeken.
“De cybercriminelen maken gebruik van malvertising: hun links worden in het advertentiegedeelte van de zoekresultaten geplaatst, zodat de gebruiker ze als eerste ziet”, aldus de Russische cyberbeveiligingsleverancier. “Als ze op zo’n link klikken, volgt er een omleiding, waarbij de gebruiker op de landingspagina van de malware terechtkomt.”
Zoals onlangs bij andere malvertisingcampagnes is opgemerkt, worden gebruikers die op de advertentie klikken omgeleid via een cloaking-service die bedoeld is om sandboxes, bots en andere te filteren die niet als echte slachtoffers worden beschouwd.
Dit wordt bereikt door gebruik te maken van een legitieme oplossing voor fraudepreventie, bekend als IPQualityScore, om te bepalen of de bezoeker van de site een mens of een bot is. Gebruikers die de controle doorstaan, krijgen een valse WhatsApp-downloadpagina te zien om hen te misleiden tot het downloaden van een kwaadaardig installatieprogramma.
Interessant is dat de malware kan worden gedownload vanaf twee verschillende URL’s, afhankelijk van of poort 27275 open is op de computer van de gebruiker.
“Deze poort wordt gebruikt door de Avast-software voor veilig bankieren”, legt Kaspersky uit. “Als deze software wordt gedetecteerd, wordt een ZIP-bestand gedownload dat een LNK-bestand bevat waarin een versluierd PowerShell-script is ingesloten dat de volgende fase downloadt.”
Mocht de poort gesloten zijn, dan wordt het NSIS-installatiepakket direct gedownload. Dit geeft aan dat de extra vangrail expliciet is ingesteld om de beveiligingssoftware te omzeilen en de malware af te leveren.
Het belangrijkste doel van het installatieprogramma is het ophalen en starten van de GoPIX-malware met behulp van een techniek die procesuitholling wordt genoemd, door het Windows-systeemproces svchost.exe in een onderbroken toestand te starten en de payload erin te injecteren.
GoPIX functioneert als klembord-stealer-malware die PIX-betalingsverzoeken kaapt en vervangt door een door de aanvaller bestuurde PIX-string, die wordt opgehaald van een command-and-control (C2)-server.
“De malware ondersteunt ook het vervangen van Bitcoin- en Ethereum-portemonneeadressen”, aldus Kaspersky. “Deze zitten echter hardcoded in de malware en worden niet opgehaald uit de C2. GoPIX kan ook C2-opdrachten ontvangen, maar deze hebben alleen betrekking op het verwijderen van de malware van de machine.”
Dit is niet de enige campagne die zich richt op gebruikers die op zoekmachines zoeken naar berichten-apps zoals WhatsApp en Telegram.
Bij een nieuwe reeks aanvallen, geconcentreerd in de regio Hongkong, is gebleken dat valse advertenties in de zoekresultaten van Google gebruikers omleiden naar frauduleuze, op elkaar lijkende pagina’s die gebruikers aansporen een QR-code te scannen om hun apparaten te koppelen.
“Het probleem hier is dat de QR-code die je scant afkomstig is van een kwaadaardige site die niets met WhatsApp te maken heeft”, zei Jérôme Segura, directeur dreigingsinformatie bij Malwarebytes, in een rapport van dinsdag.
Als gevolg hiervan wordt het apparaat van de bedreigingsacteur gekoppeld aan de WhatsApp-accounts van het slachtoffer, waardoor de kwaadwillende partij volledige toegang krijgt tot hun chatgeschiedenis en opgeslagen contacten.
Malwarebytes zei dat het ook een soortgelijke campagne heeft ontdekt die Telegram gebruikt als lokmiddel om gebruikers te verleiden een namaakinstallatieprogramma te downloaden van een Google Docs-pagina die injector-malware bevat.
De ontwikkeling komt op het moment dat Proofpoint onthulde dat een nieuwe versie van de Braziliaanse banktrojan genaamd Grandoreiro zich richt op slachtoffers in Mexico en Spanje, waarbij de activiteit wordt beschreven als “ongebruikelijk in frequentie en volume”.
Het bedrijfsbeveiligingsbedrijf heeft de campagne toegeschreven aan een bedreigingsacteur die het volgt als TA2725, die bekend staat om het gebruik van Braziliaanse bankmalware en phishing om verschillende entiteiten in Brazilië en Mexico te identificeren.
De targeting op Spanje wijst op een opkomende trend waarbij op Latijns-Amerika gerichte malware steeds meer zijn zinnen op Europa richt. Eerder dit jaar onthulde SentinelOne een langlopende campagne van een Braziliaanse bedreigingsacteur om meer dan 30 Portugese banken aan te vallen met stealer-malware.
Ondertussen floreren informatiestelers in de cybercriminaliteitseconomie, waarbij auteurs van crimeware de ondergrondse markt overspoelen met Malware-as-a-Service (MaaS)-aanbiedingen die cybercriminelen een handig en kosteneffectief middel bieden om aanvallen uit te voeren.
Bovendien verlagen dergelijke tools de toetredingsdrempel voor aspirant-dreigingsactoren die zelf mogelijk geen technische expertise hebben.
De nieuwste toevoeging aan het stealer-ecosysteem is Lumar, dat in juli 2023 voor het eerst werd geadverteerd door een gebruiker genaamd Collector op cybercriminaliteitsforums, waarbij het zijn mogelijkheden op de markt bracht om Telegram-sessies vast te leggen, browsercookies en wachtwoorden te verzamelen, bestanden op te halen en gegevens uit crypto-wallets te extraheren.
“Ondanks al deze functionaliteiten is de malware relatief klein qua omvang (slechts 50 KB), wat deels te danken is aan het feit dat het in C is geschreven”, aldus Kaspersky.
“De opkomende malware wordt vaak geadverteerd op het dark web onder minder ervaren criminelen en verspreid als MaaS, waardoor de auteurs ervan snel rijk kunnen worden en legitieme organisaties keer op keer in gevaar kunnen komen.”
