O malware, que usa anúncios pagos maliciosos disfarçados de serviços populares como isca, utiliza técnicas inéditas para redirecionamento de Pix de empresas, além de boletos e criptomoedas de usuários, sem detecção
A Kaspersky alerta para a nova evolução do GoPix, um trojan bancário brasileiro que se consolida como a ciberameaça financeira mais avançada do país. O malware utiliza uma técnica única de redirecionamento de sites, explorando uma ferramenta legítima, o que dificulta a detecção pelos sistemas de segurança. Nesta versão, passou a incluir também alterações em boletos e criptomoedas, ampliando ainda mais seu alcance e impacto. Veja detalhes da ciberameaça e como se proteger.
O GoPix se espalha por anúncios pagos maliciosos no Google Ads, disfarçados de serviços populares como WhatsApp, Google Chrome ou Correios, que direcionam para sites criados pelos cibercriminosos. Ele ataca especificamente alvos brasileiros em computadores e notebooks Windows, operando furtivamente da memória para roubar dados e manipular transações Pix de empresas, além de boletos e criptomoedas de usuários, sem que a vítima perceba.
A infecção inicia quando o usuário, ao pesquisar algo no Google, clica em um anúncio pago que o direciona para um site criado pelos cibercriminosos. Este site faz uma "triagem" inicial para verificar se o usuário é um alvo de interesse: um cliente de instituições financeiras brasileiras; um usuário de criptomoedas; ou pertence a órgãos financeiros de governos estaduais e grandes corporações. Se o usuário passar nessa checagem, o site oferece o GoPix para download, que simula ser o aplicativo legítimo do serviço que a pessoa buscava (por exemplo, um falso instalador do "WhatsApp Web"). Caso o usuário não seja considerado um alvo, a opção de baixar o programa malicioso nem chega a aparecer.
Uma vez instalado no sistema Windows do computador ou notebook, o GoPix utiliza táticas inéditas para fraudar suas vítimas. Ele monitora tudo o que é copiado e colado: se uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas for copiado, o GoPix pode alterar esses dados no momento da colagem, redirecionando o dinheiro para os criminosos sem que a vítima perceba. Além disso, o trojan usa arquivos de proxy (PAC files) apontando para um servidor local, para manipular o tráfego da internet, permitindo que os criminosos interceptem e alterem as informações enquanto o usuário navega em sites de bancos legítimos, criando uma fraude em tempo real.
Para completar a fraude, o GoPix consegue driblar a conexão segura em endereços eletrônicos (HTTPS), onde, geralmente, as informações são protegidas e criptografadas. Ele injeta um certificado digital falso diretamente na memória do navegador, como uma "identidade falsa" que o navegador aceita como legítima. Com essa manobra, o trojan consegue se posicionar no meio da comunicação, interceptando e até manipulando dados sensíveis, como credenciais bancárias ou valores de transações, antes que cheguem ao banco. Como o certificado está apenas na memória e não é de fato verdadeiro, ele se torna praticamente invisível tanto para o usuário quanto para o sistema operacional, dificultando a detecção da fraude em tempo real.
"O GoPix representa um salto na engenhosidade dos trojans bancários brasileiros. Ele consegue operar diretamente da memória do computador, deixando pouquíssimos rastros, o que dificulta a detecção. O malware ainda utiliza servidores de comando e controle com vida útil extremamente curta, ou seja, eles são desligados e substituídos rapidamente para evitar rastreamento, e explora serviços antifraude legítimos para identificar e selecionar suas vítimas. A Kaspersky identificou que esse trojan bancário está ativo em campanhas desde dezembro de 2022 e é um exemplo claro da evolução das ciberameaças no Brasil, exigindo atenção redobrada de usuários e instituições”, alerta Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa.
Para evitar ser vítima do golpe GoPix, a Kaspersky recomenda:
- Cuidado redobrado com anúncios e downloads: desconfie de anúncios pagos em mecanismos de busca que prometem softwares populares (como WhatsApp, Chrome, Correios). Baixe programas apenas dos sites oficiais dos desenvolvedores. Verifique sempre o endereço do site na barra do navegador antes de qualquer download ou interação.
- Baixe aplicativos e programas apenas de fontes oficiais: nunca instale softwares de sites desconhecidos, links em anúncios ou e-mails. Procure sempre pelos sites oficiais dos desenvolvedores ou lojas de aplicativos reconhecidas.
- Use e mantenha um software de segurança confiável: instale um antivírus robusto, como o Kaspersky Premium, e atualizado em seu computador. Soluções de segurança como as da Kaspersky são projetadas para detectar e bloquear ameaças complexas como o GoPix.
- Mantenha seus softwares atualizados: atualize regularmente seu sistema operacional (Windows) e seus navegadores de internet. Essas atualizações frequentemente incluem correções importantes de segurança.
