GoPix se firma como o trojan financeiro mais sofisticado em atuação no Brasil
A nova versão do GoPix, um trojan bancário criado no Brasil, elevou o nível das fraudes financeiras digitais no país e já é tratada por especialistas como a ameaça mais avançada hoje em circulação no cenário nacional. Identificado em campanhas desde dezembro de 2022, o malware evoluiu para atacar diretamente transações via Pix, boletos e operações com criptomoedas, desviando valores em tempo real sem levantar suspeitas da vítima.
Segundo Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para América Latina e Europa, o GoPix se destaca não apenas pela capacidade de roubar dinheiro, mas pelo conjunto de técnicas inéditas combinadas em um único ataque, tornando-o especialmente perigoso para empresas, usuários de criptos e instituições financeiras.
Como o GoPix infecta as vítimas
O ponto de partida da infecção é a manipulação de anúncios pagos em mecanismos de busca, especialmente no Google Ads. Os criminosos compram anúncios que se passam por páginas oficiais de serviços amplamente utilizados, como WhatsApp, Google Chrome ou Correios.
Quando o usuário pesquisa por esses serviços, pode ser induzido a clicar em um desses anúncios maliciosos, acreditando estar acessando o site legítimo. Em vez disso, é direcionado a uma página fraudulenta, cuidadosamente construída para parecer autêntica.
Essa página maliciosa realiza uma espécie de “triagem” das vítimas. O site verifica se o visitante se encaixa nos perfis de maior interesse para os criminosos:
– clientes de bancos brasileiros,
– pessoas que utilizam criptomoedas,
– funcionários de órgãos financeiros governamentais ou de instituições com grande volume de transações.
Se o usuário atende a esses critérios, o site oferece para download um arquivo malicioso, apresentado como sendo o programa ou aplicativo que ele buscava originalmente. É nesse momento que o GoPix é instalado no computador, geralmente em máquinas com sistema operacional Windows.
Monitoramento da área de transferência
Uma vez instalado, o GoPix passa a vigiar de forma contínua tudo o que é copiado e colado pelo usuário na área de transferência (clipboard). Essa função é essencial para o golpe:
– Quando a vítima copia uma chave Pix,
– ou o código de barras / linha digitável de um boleto,
– ou ainda o endereço de uma carteira de criptomoedas,
o malware entra em ação. No momento em que o usuário cola esses dados em um aplicativo de banco, site de pagamento ou carteira digital, o trojan substitui discretamente as informações originais por dados controlados pelos criminosos.
O resultado é que o dinheiro é enviado para contas de laranjas ou carteiras sob controle dos golpistas, enquanto o usuário acredita ter transferido para o destino correto. Como a alteração acontece em frações de segundo, diretamente na área de transferência, muitas vítimas sequer desconfiam que algo foi modificado.
Manipulação do tráfego de internet
Além do ataque à área de transferência, o GoPix também interfere no tráfego de rede da máquina infectada. O malware utiliza arquivos de proxy para redirecionar e manipular a navegação na internet.
Dessa forma, consegue interceptar e potencialmente alterar dados trafegados entre o computador da vítima e sites legítimos, incluindo páginas de bancos e serviços financeiros. Isso permite:
– interceptar credenciais de acesso,
– monitorar sessões bancárias,
– alterar informações apresentadas ao usuário,
– e até injetar conteúdo malicioso em páginas aparentemente confiáveis.
Essa combinação de técnicas mostra que o GoPix não é apenas um simples “ladrão de Pix”, mas um trojan de múltiplas camadas, projetado para maximizar as oportunidades de fraude enquanto se mantém o mais invisível possível.
Bypass de conexões HTTPS com certificado falso em memória
Um dos aspectos mais avançados do GoPix é a forma como ele lida com conexões seguras. Normalmente, sites de bancos utilizam HTTPS, com criptografia baseada em certificados digitais confiáveis, o que impede a interceptação fácil dos dados.
Para contornar essa proteção, o GoPix injeta um certificado digital falso diretamente na memória do navegador. Com isso, o browser passa a aceitar essa “identidade” fraudulenta como se fosse um certificado legítimo.
Na prática, isso cria um cenário de ataque man-in-the-middle (homem no meio):
– o trojan se posiciona entre o usuário e o site bancário,
– visualiza e pode alterar dados sensíveis (como senhas, tokens e valores de transações),
– tudo isso sem gerar, em muitos casos, alertas visíveis para o usuário.
Como esse certificado não é instalado no sistema operacional de forma tradicional, mas carregado apenas em memória, sua detecção é muito mais complexa. Ferramentas de verificação comuns, e até usuários mais experientes, podem não perceber que a conexão foi adulterada.
Por que o GoPix é considerado tão perigoso
O perigo do GoPix decorre de uma soma de fatores:
– uso de engenharia social refinada, por meio de anúncios pagos e páginas falsas muito convincentes;
– foco específico em meios de pagamento amplamente adotados no Brasil, como Pix e boletos;
– exploração do crescimento das criptomoedas, mirando também carteiras digitais;
– técnicas avançadas de interceptação de tráfego e de quebra da confiança em conexões HTTPS;
– funcionamento silencioso, com poucas evidências visíveis ao usuário.
Esse conjunto torna o malware particularmente danoso para empresas que trabalham com alto volume de transações, marketplaces, escritórios de contabilidade, fintechs e profissionais liberais que lidam com muitos pagamentos diários.
Impacto para empresas e usuários finais
Para o usuário comum, o impacto mais imediato é o desvio direto de valores: um Pix que não chega ao destinatário, um boleto pago que nunca é quitado, uma transferência em criptomoeda enviada para a carteira errada. Em muitos casos, a vítima só percebe o golpe horas ou dias depois, ao notar a pendência de pagamento ou a ausência de confirmação do destinatário.
No ambiente corporativo, as consequências podem ser ainda mais graves:
– prejuízos financeiros significativos em séries de transações desviadas,
– problemas de fluxo de caixa,
– desgaste na relação com fornecedores e clientes,
– riscos de questionamentos jurídicos sobre pagamentos supostamente efetuados,
– impacto na reputação, principalmente em empresas financeiras e de tecnologia.
Além disso, a interceptação de credenciais bancárias pode abrir a porta para ataques adicionais, como invasão a contas empresariais, fraude em folha de pagamento, movimentações não autorizadas e até extorsão.
Como reduzir o risco de infecção pelo GoPix
Para mitigar o risco de ser vítima do GoPix e de ameaças semelhantes, especialistas recomendam uma combinação de boas práticas técnicas e de comportamento digital:
1. Desconfie de anúncios em buscas
Sempre que precisar baixar um aplicativo ou acessar o site de um serviço conhecido, procure digitar diretamente o endereço oficial no navegador ou usar favoritos salvos. Evite clicar em resultados patrocinados quando estiver lidando com serviços sensíveis, como bancos, carteiras digitais e mensageiros.
2. Faça download apenas de sites oficiais
Softwares como navegadores, mensageiros, ferramentas de trabalho e aplicativos financeiros devem ser baixados exclusivamente dos sites oficiais dos desenvolvedores ou de lojas de aplicativos reconhecidas.
3. Verifique cuidadosamente dados de pagamento
Antes de confirmar um Pix, pagamento de boleto ou envio de criptomoedas, confira com atenção:
– se a chave Pix corresponde ao destinatário esperado,
– se o nome exibido pelo banco é o correto,
– se o valor está certo,
– se o endereço da carteira de criptomoedas é exatamente o mesmo que foi enviado.
Qualquer divergência deve ser tratada como sinal de alerta.
4. Use soluções de segurança confiáveis
Antivírus e suítes de segurança de fornecedores reconhecidos, como o Kaspersky Premium citado pela própria empresa, ajudam a detectar comportamentos suspeitos, bloquear downloads maliciosos e impedir a execução de trojans. Manter essas soluções sempre atualizadas é fundamental.
5. Atualize sistema operacional e navegadores
Sistemas desatualizados são mais vulneráveis a malwares que exploram falhas conhecidas. Manter Windows, navegadores, plugins e demais softwares com as últimas correções reduz a superfície de ataque.
Boas práticas específicas para o uso do Pix
Considerando que o Pix é um dos principais alvos do GoPix, algumas medidas específicas podem reduzir os riscos:
– Ative notificações em tempo real do seu banco para qualquer transação realizada.
– Evite copiar e colar chaves Pix recebidas de fontes pouco confiáveis; sempre que possível, digite manualmente ou use QR Code diretamente da tela do remetente.
– Em transações de maior valor, confirme por outro canal (telefone, mensagem verificada) se a chave fornecida é de fato do destinatário.
– Em ambientes corporativos, estabeleça um procedimento formal de conferência para alteração de chaves de pagamento de fornecedores.
Pix, criptomoedas e o novo alvo dos cibercriminosos
O foco do GoPix em Pix e criptomoedas reflete uma mudança de estratégia dos cibercriminosos no Brasil. Em vez de se limitarem ao roubo de credenciais bancárias tradicionais, os grupos estão mirando diretamente os meios de pagamento instantâneo e os ativos digitais, que oferecem:
– liquidez imediata,
– maior dificuldade de reversão das operações,
– e possibilidade de rápida dispersão dos valores roubados em múltiplas contas ou carteiras.
Isso exige que tanto usuários quanto empresas ampliem sua visão de segurança: não basta proteger apenas o acesso ao internet banking; é preciso proteger também o fluxo de dados que viabiliza essas transações, como chaves Pix e endereços de carteiras digitais.
A importância da educação em segurança digital
Nenhuma tecnologia de proteção é totalmente eficaz se o usuário não estiver atento aos sinais de fraude. Campanhas de conscientização sobre:
– riscos de clicar em anúncios suspeitos,
– importância de verificar URLs,
– cuidado com downloads de programas,
– e checagem de dados financeiros antes de confirmar operações
tornam-se essenciais em um cenário em que malwares como o GoPix se aproveitam principalmente de erros humanos.
Empresas, em especial, precisam investir em treinamento periódico de colaboradores, principalmente daqueles que atuam em áreas financeiras, compras, tesouraria e atendimento ao cliente, pois esses profissionais lidam diariamente com pagamentos, recebimentos e dados sensíveis.
Vigilância constante e resposta rápida
Diante da sofisticação do GoPix e de ameaças semelhantes, a vigilância contínua passa a ser uma necessidade. Monitorar comportamentos anômalos em estações de trabalho, revisar logs de acesso a sistemas financeiros e implementar políticas rígidas de autenticação podem reduzir o tempo entre a infecção e a detecção do problema.
Quando um incidente é identificado, agir rapidamente – bloqueando contas, revisando máquinas suspeitas, alterando senhas e notificando instituições financeiras – pode diminuir significativamente o prejuízo.
O avanço do GoPix sinaliza uma nova fase do cibercrime financeiro no Brasil, em que a combinação de engenharia social, manipulação de tráfego e ataques a meios de pagamento digitais se torna cada vez mais comum. Estar preparado, informado e protegido deixa de ser opcional e passa a ser parte da rotina de qualquer pessoa ou empresa que movimenta dinheiro no ambiente digital.