Um dos malwares financeiros mais sofisticados em circulação no país ganhou novas capacidades. A Kaspersky divulgou nesta segunda-feira (16) um alerta sobre a evolução do GoPix, trojan bancário brasileiro que agora, além de redirecionar transações Pix corporativas, também manipula boletos e endereços de carteiras de criptomoedas — tudo sem que a vítima perceba.
O golpe começa com um clique inocente: o usuário pesquisa algo no Google e se depara com um anúncio pago malicioso disfarçado de serviço legítimo, como WhatsApp, Google Chrome ou Correios. Ao acessar o link, é levado a um site dos criminosos que verifica se o visitante é um alvo em potencial — cliente de banco brasileiro, usuário de criptomoedas ou funcionário de órgão governamental ou grande empresa. Só então o falso instalador é oferecido para download.
Vale lembrar que o Pix também está na mira de ameaças para Android: na semana passada, reportamos aqui no Olhar Digital o PixRevolution, trojan que monitora a tela de smartphones para desviar transferências em tempo real. O GoPix, por sua vez, faz o mesmo — mas voltado a computadores e notebooks com Windows.
Como o GoPix age depois de instalado?
Uma vez no sistema da vítima, o trojan monitora tudo o que é copiado e colado. Se o usuário copiar uma chave Pix, um código de boleto ou um endereço de carteira digital, o GoPix substitui esses dados na hora da colagem, desviando o dinheiro para os criminosos sem deixar sinais visíveis.
O malware também usa arquivos de proxy (PAC files) apontando para um servidor local para interceptar o tráfego de internet durante a navegação em sites bancários. Com isso, os criminosos conseguem alterar informações em tempo real, mesmo em páginas protegidas por HTTPS.
Certificado falso na memória do navegador
A técnica mais sofisticada do GoPix envolve a injeção de um certificado digital falso diretamente na memória do navegador. O certificado é aceito como legítimo pelo browser, permitindo que o trojan se posicione entre o usuário e o banco — interceptando credenciais e valores de transações antes que cheguem ao destino real.
Por existir apenas na memória, sem gravação no sistema operacional, o certificado se torna praticamente invisível para ferramentas de segurança convencionais, tornando a fraude muito difícil de detectar em tempo real.
Leia mais:
- Vai ficar no Windows 10? Veja os cuidados de segurança que você deve ter
- 5 perigos de baixar softwares crackeados no seu computador
- O que é um ciberataque e como ele ocorre? Veja exemplos e como se proteger
Ativo desde 2022 e em constante evolução
Segundo Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, o GoPix está ativo em campanhas desde dezembro de 2022. O especialista destaca que o malware opera diretamente da memória, deixando pouquíssimos rastros, e utiliza servidores de comando e controle com vida útil extremamente curta — desligados e substituídos rapidamente para escapar do rastreamento.
Como se proteger do GoPix
A Kaspersky recomenda algumas medidas para reduzir o risco:
- Desconfie de anúncios pagos em buscadores que oferecem downloads de aplicativos populares
- Baixe programas somente dos sites oficiais dos desenvolvedores
- Mantenha um antivírus atualizado instalado no computador
- Atualize regularmente o sistema operacional e os navegadores
O post Trojan GoPix agora rouba Pix, boletos e criptomoedas apareceu primeiro em Olhar Digital.