Um dos códigos maliciosos financeiros mais sofisticados em atividade no Brasil ganhou novas funcionalidades. A empresa de segurança Kaspersky divulgou um alerta nesta segunda-feira, 16, sobre a atualização do GoPix, um cavalo de troia de origem nacional que agora não só desvia pagamentos via Pix de empresas, mas também altera boletos e endereços de carteiras de criptoativos — tudo de forma imperceptível para o usuário.
O golpe começa de maneira simples: a pessoa busca algo em um mecanismo de busca e encontra um anúncio pago infectado que se faz passar por um serviço legítimo, como WhatsApp, Google Chrome ou Correios. Ao clicar no link, ela é levada a uma página controlada pelos criminosos, que verifica se o visitante é um alvo viável — por exemplo, correntista de banco brasileiro, investidor em criptomoedas ou funcionário de órgão público ou grande empresa. Só depois dessa triagem o instalador fraudulento é liberado.
Vale lembrar que o Pix também enfrenta ameaças em dispositivos Android: recentemente, foi reportado o PixRevolution, um malware que monitora a tela de celulares para interceptar pagamentos em tempo real. Já o GoPix age de forma parecida, mas foca em computadores com sistema Windows.
Como o GoPix age após infectar o sistema
Uma vez instalado no computador da vítima, o cavalo de troia fica de olho em toda atividade de copiar e colar. Se o usuário copiar uma chave Pix, um código de barras de boleto ou um endereço de carteira virtual, o GoPix substitui essas informações na hora da colagem, desviando os valores para os criminosos sem deixar pistas visíveis.
O código malicioso também usa arquivos de proxy (PAC) configurados para um servidor local, capazes de capturar o tráfego de internet durante o acesso a sites bancários. Assim, os golpistas conseguem alterar dados em tempo real, mesmo em páginas seguras que utilizam o protocolo HTTPS.
Certificado falso injetado no navegador
A estratégia mais complexa do GoPix envolve a injeção de um certificado digital fraudulento diretamente na memória do navegador. Esse certificado é reconhecido como legítimo pelo programa, permitindo que o trojan se posicione como intermediário entre o cliente e o banco — capturando senhas e valores das transações antes que cheguem ao destino correto.
Por ficar apenas na memória, sem ser salvo no disco rígido, o certificado torna-se quase indetectável para soluções de segurança tradicionais, dificultando muito a identificação do golpe enquanto ele acontece.
Ativo desde 2022 e em constante evolução
Segundo Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para América Latina e Europa, o GoPix tem sido usado em ataques desde dezembro de 2022. O analista destaca que o malware opera diretamente da memória, deixando rastros mínimos, e utiliza servidores de comando e controle com vida útil muito curta — são desativados e trocados frequentemente para evitar monitoramento.
Como se proteger do GoPix
A Kaspersky recomenda algumas práticas para reduzir os riscos:
- Desconfie de anúncios pagos em sites de busca que oferecem downloads de programas conhecidos
- Baixe aplicativos somente dos sites oficiais dos desenvolvedores
- Use um antivírus atualizado no computador
- Mantenha em dia as atualizações do sistema operacional e dos navegadores
