O trojan bancário brasileiro conhecido como GoPix apresentou uma evolução significativa e passou a desviar transações financeiras de empresas, segundo análise da Kaspersky. A nova versão do malware amplia o alcance dos ataques ao incluir alterações em chaves Pix, boletos e carteiras de criptomoedas, além de empregar técnicas avançadas para se ocultar na memória dos computadores.
Anúncios maliciosos são porta de entrada
De acordo com a empresa de segurança, as campanhas do GoPix utilizam anúncios pagos maliciosos no Google como principal meio de disseminação. Esses anúncios se passam por serviços populares, como WhatsApp, Google Chrome e Correios, direcionando usuários a sites fraudulentos criados por cibercriminosos.
Antes de liberar o download do arquivo malicioso, as páginas realizam uma triagem para identificar se o visitante é cliente de bancos brasileiros, usuário de criptomoedas ou possui ligação com órgãos financeiros e grandes corporações.
Como ocorre a infecção
A infecção começa quando o usuário clica no anúncio e baixa um instalador falso em sistemas Windows. O arquivo simula programas legítimos, como um suposto instalador do “WhatsApp Web”, permitindo que o malware passe a operar de forma discreta no computador.
Diferentemente da versão inicial, registrada em 2023, o GoPix atua diretamente na memória da máquina, evitando deixar rastros no disco. Essa característica dificulta a detecção e permite que o golpe ocorra enquanto a vítima realiza operações financeiras normalmente. O principal alvo são usuários ligados a empresas, que realizam transações bancárias com frequência.
Técnicas de desvio e interceptação de dados
Uma das principais estratégias do GoPix é a substituição de dados copiados e colados. Ao copiar uma chave Pix, código de boleto ou endereço de carteira de criptomoedas, o malware pode alterar a informação no momento da colagem, redirecionando o pagamento para contas controladas por criminosos.
Outra técnica envolve a tentativa de burlar a proteção HTTPS por meio da injeção de um certificado falso na memória do navegador. Com isso, o malware busca interceptar ou modificar dados sensíveis, como credenciais e valores de transações, sem que o usuário perceba.
Segundo Fabio Assolini, diretor da equipe global de pesquisa e análise da Kaspersky para a América Latina e Europa, o GoPix consegue operar com poucos rastros e utiliza servidores de comando e controle com vida útil curta, além de explorar serviços antifraude legítimos para selecionar suas vítimas.
Como reduzir o risco de infecção
Especialistas recomendam algumas medidas para evitar o golpe:
- Desconfiar de anúncios patrocinados que oferecem downloads de programas populares;
- Baixar softwares apenas em sites oficiais e verificar o endereço no navegador;
- Evitar instalar programas por meio de links em anúncios, e-mails ou páginas desconhecidas;
- Utilizar soluções de segurança confiáveis e manter o sistema operacional e navegadores sempre atualizados.
Conclusão
A evolução do GoPix evidencia o aumento da sofisticação dos crimes cibernéticos no Brasil, especialmente contra empresas. O uso de técnicas avançadas de ocultação e manipulação de dados reforça a necessidade de atenção redobrada por parte dos usuários e da adoção de boas práticas de segurança digital.
Com informações do O Tempo
