Trojan bancário GoPix evolui e ameaça transações financeiras de empresas no Brasil
O trojan bancário brasileiro conhecido como GoPix passou por uma evolução significativa e agora está desviando transações financeiras de empresas diretamente para criminosos, conforme alerta da empresa de segurança Kaspersky. Essa nova versão do malware incorpora técnicas avançadas que incluem a alteração de carteiras de criptomoedas, códigos Pix e boletos, além de utilizar um método de ocultação na memória do computador para dificultar sua detecção.
Campanhas maliciosas usam anúncios pagos no Google como porta de entrada
As campanhas do GoPix empregam anúncios pagos maliciosos no Google como estratégia inicial de infecção. Esses anúncios se disfarçam de serviços populares, como WhatsApp, Google Chrome e Correios, redirecionando os usuários para sites criados por cibercriminosos. Uma vez que a pessoa clica no anúncio e baixa um instalador falso no Windows, o malware começa a operar de forma furtiva na máquina, simulando ser o programa desejado, como um suposto instalador do "WhatsApp Web".
O golpe tem como alvo principal computadores Windows e busca agir sem deixar rastros no disco rígido, atuando diretamente na memória. Isso dificulta que a vítima perceba a fraude enquanto navega na internet e realiza transações bancárias, representando uma grande evolução em comparação com a versão inicial do GoPix, registrada em 2023. O foco dos criminosos são usuários ligados a empresas, que frequentemente realizam transações financeiras por meio de computadores.
Técnicas de desvio e ocultação do malware
A principal técnica do GoPix envolve a substituição de dados copiados e colados para redirecionar pagamentos. Se a vítima copia uma chave Pix, um código de boleto ou um endereço de carteira de criptomoedas, o malware pode alterar a informação no momento da colagem, enviando o dinheiro para contas controladas pelos criminosos. Além disso, o GoPix tenta driblar a proteção do HTTPS usando um certificado falso injetado na memória do navegador, permitindo que ele se coloque no meio da comunicação para capturar ou modificar dados sensíveis, como credenciais e valores de transações, sem ser notado pelo usuário.
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, destacou em comunicado: "O GoPix consegue operar diretamente da memória do computador, deixando pouquíssimos rastros, o que dificulta a detecção. O malware ainda utiliza servidores de comando e controle com vida útil extremamente curta, ou seja, eles são desligados e substituídos rapidamente para evitar rastreamento, e explora serviços antifraude legítimos para identificar e selecionar suas vítimas."
Como reduzir o risco de cair no golpe
Para se proteger contra o GoPix e ameaças similares, é essencial adotar medidas preventivas. Desconfie de anúncios patrocinados que oferecem download de programas populares, e sempre baixe softwares apenas em sites oficiais dos desenvolvedores, verificando o endereço exibido na barra do navegador. A instalação de programas deve ser feita exclusivamente a partir de fontes oficiais e reconhecidas, evitando links em anúncios, emails ou páginas desconhecidas, que aumentam o risco de encontrar instaladores falsos com malware embutido.
Além disso, a Kaspersky recomenda o uso de uma solução de segurança confiável e atualizada no computador, juntamente com a manutenção regular de correções do Windows e navegadores. Essas práticas ajudam a bloquear ameaças e proteger dados financeiros sensíveis.
