Ícone do site IPNews – O Portal da Conectividade

Trojan bancário brasileiro evolui e se torna ameaça mais avançada do País

cyber security, digital crime concept, data protection from hacker

A Kaspersky alerta para a nova evolução do GoPix, um trojan bancário brasileiro que utiliza uma técnica única de redirecionamento de sites, explorando uma ferramenta legítima, o que dificulta a detecção pelos sistemas de segurança. Nesta versão, passou a incluir também alterações em boletos e criptomoedas, ampliando ainda mais seu alcance e impacto.

CONTEÚDO RELACIONADO: Golpe no WhatsApp usa site falso para roubar acesso ao Gov.br durante temporada do IR

O GoPix se espalha por anúncios pagos maliciosos no Google Ads, disfarçados de serviços populares como WhatsApp, Google Chrome ou Correios, que direcionam para sites criados pelos cibercriminosos. Ele ataca especificamente alvos brasileiros em computadores e notebooks Windows, operando furtivamente da memória para roubar dados e manipular transações Pix de empresas, além de boletos e criptomoedas de usuários, sem que a vítima perceba.

A infecção inicia quando o usuário, ao pesquisar algo no Google, clica em um anúncio pago que o direciona para um site criado pelos cibercriminosos. Este site faz uma “triagem” inicial para verificar se o usuário é um alvo de interesse: um cliente de instituições financeiras brasileiras; um usuário de criptomoedas; ou pertence a órgãos financeiros de governos estaduais e grandes corporações.

Se o usuário passar nessa checagem, o site oferece o GoPix para download, que simula ser o aplicativo legítimo do serviço que a pessoa buscava (por exemplo, um falso instalador do “WhatsApp Web”). Caso o usuário não seja considerado um alvo, a opção de baixar o programa malicioso nem chega a aparecer.

Como o GoPix opera dentro do Windows

Uma vez instalado no sistema Windows do computador ou notebook, o GoPix utiliza táticas inéditas para fraudar suas vítimas. Ele monitora tudo o que é copiado e colado: se uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas for copiado, o GoPix pode alterar esses dados no momento da colagem, redirecionando o dinheiro para os criminosos sem que a vítima perceba.

Além disso, o trojan usa arquivos de proxy (PAC files) apontando para um servidor local, para manipular o tráfego da internet, permitindo que os criminosos interceptem e alterem as informações enquanto o usuário navega em sites de bancos legítimos, criando uma fraude em tempo real.

Para completar a fraude, o GoPix consegue driblar a conexão segura em endereços eletrônicos (HTTPS), onde, geralmente, as informações são protegidas e criptografadas. Ele injeta um certificado digital falso diretamente na memória do navegador, como uma “identidade falsa” que o navegador aceita como legítima. Com essa manobra, o trojan consegue se posicionar no meio da comunicação, interceptando e até manipulando dados sensíveis, como credenciais bancárias ou valores de transações, antes que cheguem ao banco. Como o certificado está apenas na memória e não é de fato verdadeiro, ele se torna praticamente invisível tanto para o usuário quanto para o sistema operacional, dificultando a detecção da fraude em tempo real.

Como se proteger

Para evitar ser vítima do golpe GoPix, a Kaspersky recomenda:

Participe das comunidades IPNews no InstagramFacebookLinkedIn e X (Twitter).

Sair da versão mobile