Ameaça digital para sistemas Windows intercepta transferências financeiras em tempo real e atua de forma quase invisível na memória do navegador
O cenário de segurança cibernética brasileiro enfrenta um agravamento com a atualização do trojan GoPix. O código malicioso, anteriormente focado em fraudar transferências corporativas, ampliou seu escopo de atuação para interceptar também pagamentos via boletos bancários e transações envolvendo carteiras de ativos digitais. A descoberta do novo potencial de dano foi divulgada na segunda-feira (16) pela Kaspersky.
A contaminação das máquinas ocorre a partir de interações com anúncios patrocinados fraudulentos em motores de busca. Os criminosos disfarçam os links maliciosos como páginas oficiais de serviços de alta demanda, incluindo WhatsApp, Google Chrome e Correios. Ao acessar a página enganosa, o sistema dos invasores analisa o perfil do visitante para determinar sua relevância antes de liberar o download de um instalador falso.
O foco dos atacantes recai sobre clientes de instituições financeiras nacionais, investidores de criptomoedas e funcionários de órgãos governamentais. Diferente do recém-descoberto PixRevolution, desenhado para o ecossistema Android, a praga virtual atual atinge exclusivamente computadores e notebooks operando com o sistema Windows.
Como ocorre a interceptação do dinheiro
A dinâmica de roubo baseia-se no monitoramento ininterrupto da área de transferência do sistema operacional. Quando a vítima copia uma chave Pix, um código de barras ou um endereço de carteira virtual, o programa substitui a sequência original pelos dados das contas controladas pelos golpistas no momento exato da colagem.
A sofisticação da invasão envolve também a manipulação do tráfego de rede por meio de arquivos de proxy. Essa estratégia possibilita a interferência nos dados durante a navegação em plataformas bancárias, mesmo quando a conexão utiliza protocolos de proteção HTTPS.
Certificado invisível no navegador
O grau de evasão do código malicioso se destaca por sua capacidade de injetar um certificado digital ilegítimo diretamente na memória do browser. Essa característica garante que a ameaça opere como um intermediário silencioso entre o cliente e o banco, validando acessos falsos sem criar arquivos físicos no disco rígido. O método inviabiliza a detecção por softwares de proteção convencionais no momento do ataque.
Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina e Europa, acompanha o desenvolvimento da ameaça cibernética desde dezembro de 2022. “O malware deixa poucos rastros e utiliza servidores de comando e controle com vida útil curta, que são rapidamente substituídos para evitar rastreamento.”
Medidas de prevenção sugeridas
Especialistas em segurança da informação orientam a adoção de posturas defensivas básicas para evitar o comprometimento da máquina. As diretrizes essenciais incluem:
- Desconfiar de anúncios em buscadores oferecendo download de aplicativos populares;
- Realizar a instalação de softwares apenas nos domínios oficiais dos desenvolvedores;
- Manter soluções de antivírus ativas e atualizadas no computador;
- Garantir a instalação regular de pacotes de segurança do sistema operacional e navegadores de internet.