Novo GoPix: Malware evolui e ataca Pix, boletos e criptomoedas

Malware – O trojan GoPix, já conhecido por atacar transações financeiras no Brasil, ganhou novas funções e passou a atingir também boletos bancários e carteiras de criptomoedas. O alerta foi divulgado na segunda-feira (16) pela Kaspersky, que identificou a evolução do malware e o aumento do seu potencial de dano.

Considerado um dos códigos maliciosos mais sofisticados em circulação no país, o GoPix agora vai além do redirecionamento de transferências Pix corporativas. A nova versão consegue manipular diferentes formas de pagamento sem levantar suspeitas, ampliando o risco para usuários e empresas.

LEIA: ECA Digital: Reddit suspende contas de menores de 16 anos no Brasil

A estratégia de infecção começa de forma simples: ao realizar uma busca no Google, a vítima pode encontrar um anúncio pago fraudulento, disfarçado de serviços populares como WhatsApp, Google Chrome ou Correios. Ao clicar, o usuário é direcionado a uma página controlada por criminosos, que analisa o perfil do visitante. Caso seja considerado um alvo relevante, como cliente de banco brasileiro, usuário de criptomoedas ou funcionário de órgãos, o site libera o download de um instalador falso.

O cenário se soma a outras ameaças recentes envolvendo o sistema de pagamentos instantâneos. Na semana passada, foi identificado o PixRevolution, voltado para dispositivos Android. Diferentemente dele, o GoPix atua em computadores e notebooks com Windows, utilizando técnicas similares para desviar valores em tempo real.

Monitoramento e substituição de dados

Depois de instalado, o GoPix passa a monitorar continuamente tudo o que o usuário copia e cola. Se detectar uma chave Pix, código de boleto ou endereço de carteira digital, o malware substitui essas informações automaticamente no momento da colagem, redirecionando o dinheiro para contas controladas pelos criminosos.

Além disso, o trojan emprega arquivos de proxy (PAC files) que direcionam o tráfego de internet para um servidor local. Essa técnica permite interceptar e modificar dados durante a navegação em sites bancários, inclusive em páginas protegidas por HTTPS.

Certificado falso invisível

Um dos recursos mais avançados do GoPix é a injeção de um certificado digital falso diretamente na memória do navegador. Como o certificado é aceito como legítimo, o malware consegue se posicionar entre o usuário e a instituição financeira, capturando credenciais e alterando valores de transações antes que sejam concluídas.

Por operar apenas na memória, sem deixar arquivos no sistema, essa técnica dificulta a detecção por ferramentas tradicionais de segurança, tornando o ataque praticamente invisível em tempo real.

Atuação desde 2022

De acordo com Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, o GoPix está ativo desde dezembro de 2022 e segue em constante evolução. O especialista afirma que o malware deixa poucos rastros e utiliza servidores de comando e controle com vida útil curta, que são rapidamente substituídos para evitar rastreamento.

Como se proteger

Para reduzir o risco de infecção, a Kaspersky recomenda:

• Desconfiar de anúncios pagos em buscadores que oferecem downloads de aplicativos populares
• Baixar programas apenas dos sites oficiais dos desenvolvedores
• Manter um antivírus atualizado no computador
• Atualizar regularmente o sistema operacional e os navegadores

 

(Com informações de Olhar Digital)

(Foto: Reprodução/Freepik/eakkachaihalang)