Uma nova geração de golpes bancários está operando de forma silenciosa e letal: o trojan brasileiro GoPix evoluiu e agora é capaz de desviar transações financeiras sem deixar rastros no computador da vítima. O alerta foi feito pela empresa de segurança Kaspersky, que identificou a versão aprimorada da praga digital, focada especialmente em usuários corporativos e pessoas que realizam transações bancárias pelo computador.
A principal inovação do malware é sua capacidade de operar diretamente da memória do sistema, sem gravar arquivos no disco. Isso dificulta a detecção por antivírus tradicionais e torna praticamente invisível para a vítima enquanto ela navega ou faz pagamentos.
A porta de entrada: anúncios falsos no Google
De acordo com a Kaspersky, os criminosos utilizam anúncios pagos no Google para atrair vítimas. As propagandas se passam por serviços populares, como WhatsApp, Google Chrome e Correios. Ao clicar no anúncio, o usuário é direcionado a uma página criada pelos cibercriminosos, que faz uma triagem prévia: o site verifica se o visitante é cliente de bancos brasileiros, usuário de criptomoedas ou está ligado a órgãos financeiros de governos estaduais e grandes corporações.
Se o alvo é considerado interessante, o site oferece um instalador falso. Ao baixar e executar o arquivo — que simula ser o programa procurado, como um suposto instalador do “WhatsApp Web” —, o malware é ativado e passa a operar de forma furtiva.
A técnica: trocar dados na hora de colar
A principal manobra do GoPix é substituir informações copiadas pela vítima no momento em que ela as cola. Se um usuário copia uma chave Pix, um código de boleto ou um endereço de carteira de criptomoedas, o trojan pode trocar esses dados por outros — geralmente pertencentes aos criminosos —, redirecionando o pagamento sem que a vítima perceba.
Além disso, o malware consegue driblar a proteção do HTTPS ao injetar um certificado falso na memória do navegador. Isso permite que ele se coloque no meio da comunicação, capturando ou modificando dados sensíveis como credenciais e valores de transações, sem qualquer sinal visível para o usuário.
Rastros apagados e servidores voláteis
Segundo Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, o GoPix evoluiu para se tornar ainda mais difícil de rastrear.
“O GoPix consegue operar diretamente da memória do computador, deixando pouquíssimos rastros, o que dificulta a detecção. O malware ainda utiliza servidores de comando e controle com vida útil extremamente curta, ou seja, eles são desligados e substituídos rapidamente para evitar rastreamento, e explora serviços antifraude legítimos para identificar e selecionar suas vítimas”, explicou.
Como se proteger
Diante da ameaça, a Kaspersky recomenda uma série de medidas para reduzir os riscos:
-
Desconfie de anúncios patrocinados: evite clicar em propagandas que oferecem downloads de programas populares. Baixe softwares apenas nos sites oficiais dos desenvolvedores e verifique o endereço na barra do navegador.
-
Instale programas apenas de fontes oficiais: links em anúncios, e-mails ou páginas desconhecidas aumentam consideravelmente a chance de o arquivo ser um instalador falso com malware embutido.
-
Mantenha soluções de segurança atualizadas: use um antivírus confiável e mantenha o Windows e os navegadores sempre com as últimas correções de segurança.
A orientação vale especialmente para quem realiza transações financeiras pelo computador — público-alvo preferencial da nova versão do GoPix. O Google, procurado para comentar as campanhas de anúncios falsos, não respondeu até a publicação.
