O trojan bancário brasileiro GoPix evoluiu e passou a desviar transações financeiras de empresas para criminosos, de acordo com a empresa de segurança Kaspersky. A nova técnica abrange alteração de carteiras de criptomoedas, Pix e de boletos, além de usar uma técnica para ocultação da praga na memória do computador.

Campanhas do GoPix usam anúncios pagos maliciosos no Google como porta de entrada. Os anúncios se disfarçam de serviços populares, como WhatsApp, Google Chrome e Correios, e levam a sites criados por cibercriminosos. Esse tipo de praga é conhecida como trojan, pois se disfarça de software legítimo para enganar a pessoa e infectar o sistema. Consultado para comentar, o Google não respondeu ao pedido da reportagem. O espaço segue aberto para a empresa.

Site faz triagem antes de oferecer o download do arquivo malicioso. A página verifica se o visitante parece ser cliente de bancos brasileiros, usuário de criptomoedas ou ligado a órgãos financeiros de governos estaduais e grandes corporações.

Infecção começa quando a pessoa clica no anúncio e baixa um instalador falso no Windows. O arquivo simula ser o programa procurado, como um suposto instalador do “WhatsApp Web”, e o malware passa a operar de forma furtiva na máquina.

Golpe mira computadores Windows e tenta agir sem deixar rastros no disco. A atuação diretamente na memória dificulta que a vítima perceba a fraude enquanto navega e faz transações -essa é a grande evolução comparada com a versão inicial do GoPix, registrada em 2023. O foco dos criminosos são usuários ligados a empresas, os que mais realizam transações bancárias por meio de computadores.

Principal técnica é trocar dados copiados e colados para redirecionar pagamentos. Se a vítima copia uma chave Pix, um código de boleto ou um endereço de carteira de criptomoedas, o GoPix pode substituir a informação no momento da colagem e mandar o dinheiro para os criminosos.

Outra manobra é driblar a proteção do HTTPS com um certificado falso injetado na memória do navegador. Com isso, o malware tenta se colocar no meio da comunicação para capturar ou modificar dados sensíveis, como credenciais e valores de transações, sem ficar visível para o usuário.

“O GoPix consegue operar diretamente da memória do computador, deixando pouquíssimos rastros, o que dificulta a detecção. O malware ainda utiliza servidores de comando e controle com vida útil extremamente curta, ou seja, eles são desligados e substituídos rapidamente para evitar rastreamento, e explora serviços antifraude legítimos para identificar e selecionar suas vítimas”, afirmou Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, em comunicado.

Como reduzir o risco de cair no golpe

Desconfie de anúncios patrocinados que oferecem download de programas populares. A orientação é baixar softwares apenas em sites oficiais dos desenvolvedores e checar o endereço exibido na barra do navegador.

Instalação de programas deve ser feita só a partir de fontes oficiais e reconhecidas. Links em anúncios, emails ou páginas desconhecidas aumentam o risco de o arquivo ser um instalador falso com malware embutido.

Uso de solução de segurança e atualizações do sistema ajudam a bloquear ameaças. A Kaspersky recomenda ter solução de segurança confiável e atualizada no computador, além de manter correções do Windows e navegadores atualizados.