Trojan GoPix realiza 90 mil ataques por meio do Google Ads em março
Trojan GoPix atinge 90 mil vítimas através do Google Ads em março, roubando Pix, boletos e criptomoedas com técnicas APT.
Técnicas Inéditas Elevam Padrão de Ameaças Brasileiras
O trojan bancário brasileiro GoPix, ativo desde dezembro de 2022, registrou 90 mil tentativas de infecção em março de 2026, conforme relatado pela Kaspersky. Este malware se espalha por meio de anúncios maliciosos no Google Ads, disfarçados de serviços populares como WhatsApp e Correios, visando roubar dados de transações financeiras, incluindo Pix, boletos e criptomoedas.
O GoPix representa uma evolução significativa no cenário de malware no Brasil, utilizando injeção de certificados digitais falsos na memória dos navegadores. Essa técnica permite a execução de ataques man-in-the-middle em conexões seguras, possibilitando a interceptação e modificação de dados em tempo real, sem que a vítima perceba qualquer anomalia.
Além disso, o GoPix opera com módulos memory-only, o que significa que ele funciona exclusivamente na memória RAM, deixando poucos rastros no disco rígido. Essa abordagem dificulta a detecção por ferramentas tradicionais de antivírus, sendo uma característica comum em grupos de ameaças persistentes avançadas (APT) internacionais.
Alvos Prioritários e Manipulação de Transações Digitais
O GoPix não realiza ataques aleatórios; ele faz uma triagem cuidadosa dos alvos, focando em clientes de instituições financeiras, usuários de criptomoedas e funcionários de grandes corporações. Essa seletividade aumenta o retorno financeiro dos criminosos, priorizando alvos de maior valor.
Uma vez instalado em um sistema valioso, o malware monitora a área de transferência, substituindo automaticamente chaves Pix, códigos de boletos e endereços de carteiras de criptomoedas por versões controladas pelos atacantes. Assim, a vítima acaba enviando dinheiro diretamente para os criminosos, acreditando que está realizando uma transação legítima.
Com 80% da população brasileira utilizando o sistema de pagamentos instantâneos Pix e movimentações que alcançaram R$ 3 trilhões em outubro de 2025, essa plataforma se tornou um alvo preferencial. Além disso, os 25 milhões de brasileiros que investem em criptomoedas representam uma camada adicional de vítimas em potencial.
Infraestrutura Efêmera Dificulta Combate
A infraestrutura de comando e controle do GoPix utiliza uma estratégia de evasão altamente eficaz. Os servidores de controle permanecem ativos por poucas horas antes de serem desativados e substituídos, dificultando o bloqueio e a disseminação de indicadores de comprometimento pelas equipes de segurança.
O malware também utiliza arquivos de configuração automática de proxy (PAC files) para redirecionar o tráfego das vítimas através de servidores controlados pelos atacantes. Isso permite a interceptação de dados mesmo quando as vítimas acessam sites legítimos via HTTPS.
Impacto no Setor de TI e Estratégias de Defesa
A ascensão do GoPix exige uma reavaliação das estratégias de defesa nas empresas. Soluções tradicionais baseadas em assinaturas são insuficientes contra malware que opera na memória e utiliza servidores efêmeros. É crucial que os gestores de segurança adotem abordagens comportamentais, monitorem tráfego anômalo e promovam a conscientização dos usuários.
A exploração de anúncios no Google Ads como vetor de infecção destaca a necessidade de políticas rigorosas para downloads de software. As organizações devem implementar listas de permissões de aplicações, restringir a instalação por usuários comuns e verificar certificados digitais em nível de rede.
Fonte por: Its Show
Autor(a):
Redação
Portal de notícias e informações atualizadas do Brasil e do mundo. Acompanhe as principais notícias em tempo real
