GoPix é o Trojan bancário mais avançado de origem brasileira
Expertos da Kaspersky GReAT descrevem o GoPix, um Trojan bancário de origem brasileira que emprega implants apenas na memória, arquivos Proxy AutoConfig (PAC) para ataques man-in-the-middle e malvertising via Google Ads. O malware representa uma evolução das ameaças RAT e ATS, tornando-se uma ameaça única e nunca vista antes.
Descoberta e escopo
O GoPix tem sido monitorado desde 2023 e continua altamente ativo. A ameaça é reconhecida por seus métodos furtivos de infectar vítimas e evadir detecção por software de segurança, usando novos truques para permanecer operacional. O grupo brasileiro por trás do GoPix está claramente aprendendo com grupos APT para tornar o malware persistente e escondê-lo.
Vetor e exploração
A infecção inicial é alcançada através de campanhas de malvertising. Os atores de ameaça usam o Google Ads para espalhar iscas relacionadas a serviços populares como WhatsApp, Google Chrome e os Correios. O malware usa um serviço legítimo de anti-fraude para pré-qualificar alvos, evitando sandboxes.
Impacto e alcance
O GoPix executa ataques man-in-the-middle, monitora transações Pix, Boleto e manipula transações de criptomoedas. Ele injeta um certificado raiz confiável na memória do navegador, permitindo que o atacante sniff e manipule o tráfego HTTPS da vítima.
Implicações regulatórias (LGPD)
A capacidade do GoPix de roubar e manipular dados financeiros sensíveis representa um risco significativo para a conformidade com a LGPD. Instituições financeiras e usuários devem estar atentos a sinais de comprometimento e adotar medidas de proteção avançadas.
Para mais informações técnicas, a Kaspersky recomenda contatar o time de inteligência de crimeware.