{"id":16537,"date":"2026-03-18T14:56:31","date_gmt":"2026-03-18T17:56:31","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16537"},"modified":"2026-03-18T18:11:27","modified_gmt":"2026-03-18T21:11:27","slug":"gopix-malware-evolui-pix-boletos-e-criptomoedas","status":"publish","type":"post","link":"https:\/\/homolog.fenati.org.br\/en\/gopix-malware-evolui-pix-boletos-e-criptomoedas\/","title":{"rendered":"Novo GoPix: Malware evolui e ataca Pix, boletos e criptomoedas"},"content":{"rendered":"

Malware –<\/strong> O trojan GoPix, j\u00e1 conhecido por atacar transa\u00e7\u00f5es financeiras no Brasil, ganhou novas fun\u00e7\u00f5es e passou a atingir tamb\u00e9m boletos banc\u00e1rios e carteiras de criptomoedas. O alerta foi divulgado na segunda-feira (16) pela Kaspersky<\/a>, que identificou a evolu\u00e7\u00e3o do malware e o aumento do seu potencial de dano.<\/p>\n

Considerado um dos c\u00f3digos maliciosos mais sofisticados em circula\u00e7\u00e3o no pa\u00eds, o GoPix agora vai al\u00e9m do redirecionamento de transfer\u00eancias Pix corporativas. A nova vers\u00e3o consegue manipular diferentes formas de pagamento sem levantar suspeitas, ampliando o risco para usu\u00e1rios e empresas.<\/p>\n

LEIA: ECA Digital: Reddit suspende contas de menores de 16 anos no Brasil<\/strong><\/a><\/p>\n

A estrat\u00e9gia de infec\u00e7\u00e3o come\u00e7a de forma simples: ao realizar uma busca no Google, a v\u00edtima pode encontrar um an\u00fancio pago fraudulento, disfar\u00e7ado de servi\u00e7os populares como WhatsApp, Google Chrome ou Correios. Ao clicar, o usu\u00e1rio \u00e9 direcionado a uma p\u00e1gina controlada por criminosos, que analisa o perfil do visitante. Caso seja considerado um alvo relevante, como cliente de banco brasileiro, usu\u00e1rio de criptomoedas ou funcion\u00e1rio de \u00f3rg\u00e3os, o site libera o download de um instalador falso.<\/p>\n

O cen\u00e1rio se soma a outras amea\u00e7as recentes envolvendo o sistema de pagamentos instant\u00e2neos. Na semana passada, foi identificado o PixRevolution, voltado para dispositivos Android. Diferentemente dele, o GoPix atua em computadores e notebooks com Windows, utilizando t\u00e9cnicas similares para desviar valores em tempo real.<\/p>\n

Monitoramento e substitui\u00e7\u00e3o de dados<\/strong><\/p>\n

Depois de instalado, o GoPix passa a monitorar continuamente tudo o que o usu\u00e1rio copia e cola. Se detectar uma chave Pix, c\u00f3digo de boleto ou endere\u00e7o de carteira digital, o malware substitui essas informa\u00e7\u00f5es automaticamente no momento da colagem, redirecionando o dinheiro para contas controladas pelos criminosos.<\/p>\n

Al\u00e9m disso, o trojan emprega arquivos de proxy (PAC files) que direcionam o tr\u00e1fego de internet para um servidor local. Essa t\u00e9cnica permite interceptar e modificar dados durante a navega\u00e7\u00e3o em sites banc\u00e1rios, inclusive em p\u00e1ginas protegidas por HTTPS.<\/p>\n

Certificado falso invis\u00edvel<\/strong><\/p>\n

Um dos recursos mais avan\u00e7ados do GoPix \u00e9 a inje\u00e7\u00e3o de um certificado digital falso diretamente na mem\u00f3ria do navegador. Como o certificado \u00e9 aceito como leg\u00edtimo, o malware consegue se posicionar entre o usu\u00e1rio e a institui\u00e7\u00e3o financeira, capturando credenciais e alterando valores de transa\u00e7\u00f5es antes que sejam conclu\u00eddas.<\/p>\n

Por operar apenas na mem\u00f3ria, sem deixar arquivos no sistema, essa t\u00e9cnica dificulta a detec\u00e7\u00e3o por ferramentas tradicionais de seguran\u00e7a, tornando o ataque praticamente invis\u00edvel em tempo real.<\/p>\n

Atua\u00e7\u00e3o desde 2022<\/strong><\/p>\n

De acordo com Fabio Assolini, diretor da Equipe Global de Pesquisa e An\u00e1lise da Kaspersky para a Am\u00e9rica Latina e Europa, o GoPix est\u00e1 ativo desde dezembro de 2022 e segue em constante evolu\u00e7\u00e3o. O especialista afirma que o malware deixa poucos rastros e utiliza servidores de comando e controle com vida \u00fatil curta, que s\u00e3o rapidamente substitu\u00eddos para evitar rastreamento.<\/p>\n

Como se proteger<\/strong><\/p>\n

Para reduzir o risco de infec\u00e7\u00e3o, a Kaspersky recomenda:<\/p>\n