Um dos malwares financeiros mais sofisticados em circulação no país ganhou novas capacidades. A Kaspersky divulgou nesta segunda-feira (16) um alerta sobre a evolução do GoPix, trojan bancário brasileiro que agora, além de redirecionar transações Pix corporativas, também manipula boletos e endereços de carteiras de criptomoedas — tudo sem que a vítima perceba.O golpe começa com um clique inocente: o usuário pesquisa algo no Google e se depara com um anúncio pago malicioso disfarçado de serviço legítimo, como WhatsApp, Google Chrome ou Correios. Ao acessar o link, é levado a um site dos criminosos que verifica se o visitante é um alvo em potencial — cliente de banco brasileiro, usuário de criptomoedas ou funcionário de órgão governamental ou grande empresa. Só então o falso instalador é oferecido para download.Malware pode se instalar após cliques em anúncios pagos do Google, que oferecem instaladores falsos de serviços legítimos (Imagem: Aria sandi hasim / Shutterstock.com)Vale lembrar que o Pix também está na mira de ameaças para Android: na semana passada, reportamos aqui no Olhar Digital o PixRevolution, trojan que monitora a tela de smartphones para desviar transferências em tempo real. O GoPix, por sua vez, faz o mesmo — mas voltado a computadores e notebooks com Windows.Como o GoPix age depois de instalado?Uma vez no sistema da vítima, o trojan monitora tudo o que é copiado e colado. Se o usuário copiar uma chave Pix, um código de boleto ou um endereço de carteira digital, o GoPix substitui esses dados na hora da colagem, desviando o dinheiro para os criminosos sem deixar sinais visíveis.O malware também usa arquivos de proxy (PAC files) apontando para um servidor local para interceptar o tráfego de internet durante a navegação em sites bancários. Com isso, os criminosos conseguem alterar informações em tempo real, mesmo em páginas protegidas por HTTPS.Certificado falso na memória do navegadorA técnica mais sofisticada do GoPix envolve a injeção de um certificado digital falso diretamente na memória do navegador. O certificado é aceito como legítimo pelo browser, permitindo que o trojan se posicione entre o usuário e o banco — interceptando credenciais e valores de transações antes que cheguem ao destino real.GoPix é capaz de injetar certificado digital falso em navegadores (Imagem: JMiks / Shutterstock.com)Por existir apenas na memória, sem gravação no sistema operacional, o certificado se torna praticamente invisível para ferramentas de segurança convencionais, tornando a fraude muito difícil de detectar em tempo real.Leia mais:Vai ficar no Windows 10? Veja os cuidados de segurança que você deve ter5 perigos de baixar softwares crackeados no seu computadorO que é um ciberataque e como ele ocorre? Veja exemplos e como se protegerAtivo desde 2022 e em constante evoluçãoSegundo Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, o GoPix está ativo em campanhas desde dezembro de 2022. O especialista destaca que o malware opera diretamente da memória, deixando pouquíssimos rastros, e utiliza servidores de comando e controle com vida útil extremamente curta — desligados e substituídos rapidamente para escapar do rastreamento.Como se proteger do GoPixA Kaspersky recomenda algumas medidas para reduzir o risco:Desconfie de anúncios pagos em buscadores que oferecem downloads de aplicativos popularesBaixe programas somente dos sites oficiais dos desenvolvedoresMantenha um antivírus atualizado instalado no computadorAtualize regularmente o sistema operacional e os navegadoresO post Trojan GoPix agora rouba Pix, boletos e criptomoedas apareceu primeiro em Olhar Digital.