Um malware utilizado em fraudes financeiras pela internet passou a ter novas funcionalidades. Além de alterar transferências feitas via Pix, o vírus agora também consegue modificar pagamentos realizados por boletos bancários e operações com criptomoedas.

De acordo com relatório divulgado nesta segunda-feira (16) pela empresa de cibersegurança Kaspersky, o programa malicioso, conhecido como GoPix, utiliza um recurso legítimo do navegador para redirecionar páginas da internet. A estratégia permite modificar informações sensíveis durante uma transação financeira, como chave Pix, código de boleto ou endereço de carteira digital, alterando o destino do dinheiro.

Essa manipulação ocorre de forma discreta, sem deixar evidências visíveis no computador da vítima, o que dificulta a identificação da fraude. Segundo a empresa de segurança digital, o trojan bancário se destaca entre as ameaças financeiras detectadas no país. O impacto financeiro total causado pela ação do grupo responsável ainda não foi mensurado.

Como o vírus se espalha na internet

A circulação do GoPix foi identificada desde 2023, principalmente por meio de campanhas fraudulentas em anúncios patrocinados. Em muitos casos, usuários são direcionados a páginas falsas que simulam sites oficiais de programas ou serviços.

Esses sites fraudulentos permanecem disponíveis por períodos curtos e costumam ser direcionados a perfis específicos de usuários. A prática tem como objetivo reduzir a possibilidade de detecção e ampliar a eficiência da fraude.

A Google afirma manter monitoramento constante desse tipo de campanha. Dados recentes divulgados pela empresa indicam que, apenas em 2024, foram removidos 415 milhões de anúncios relacionados a fraudes financeiras.

Ataques priorizam alvos com maior movimentação financeira

O funcionamento do malware inclui uma etapa de seleção das possíveis vítimas. Antes de disponibilizar o arquivo malicioso para download, o sistema avalia características da rede utilizada pelo usuário.

Essa análise, chamada de “score de rede”, permite identificar se o computador pertence a uma empresa ou a uma pessoa física. O objetivo é priorizar dispositivos com maior probabilidade de realizar transações de valores elevados.

Caso o usuário seja considerado um alvo potencial, o site fraudulento apresenta um arquivo para download que simula ser um instalador legítimo, como um suposto aplicativo do WhatsApp ou outro serviço popular. Quando o perfil não corresponde ao interesse dos criminosos, o download do programa malicioso não é exibido.

Após instalado em computadores com sistema Microsoft Windows, o vírus passa a monitorar dados copiados e colados pelo usuário. Se o sistema identificar informações relacionadas a pagamentos — como chaves Pix, códigos de boletos ou endereços de carteiras de criptomoedas — esses dados podem ser substituídos automaticamente por outros controlados pelos criminosos.

Técnica usada impede identificação do golpe

Para executar a fraude, o malware utiliza uma ferramenta conhecida como proxy, responsável por redirecionar a navegação para um servidor local. Nesse ambiente, os comandos do golpe são executados enquanto o usuário acessa páginas legítimas de bancos ou plataformas financeiras.

Esse método permite interceptar e alterar as informações no momento da transação, mantendo a aparência de normalidade para a vítima.

A atualização mais recente do GoPix ampliou o alcance do esquema, que agora também mira operações envolvendo criptoativos. Entre os ativos digitais utilizados no Brasil, as chamadas stablecoins, criptomoedas vinculadas a moedas tradicionais, ganharam destaque em operações financeiras.

Dados de mercado indicam que, em 2025, mais de 90% das negociações com criptomoedas realizadas no país envolveram a Tether (USDT).

Impactos e atenção para empresas e escritórios contábeis

Empresas e escritórios contábeis podem se tornar alvos relevantes desse tipo de ataque, principalmente por operarem rotinas que envolvem pagamentos frequentes e valores elevados.

Processos financeiros realizados em ambiente digital, como liquidação de boletos, transferências via Pix e pagamentos a fornecedores, podem ser manipulados caso o computador utilizado esteja infectado.

A rotina de copiar e colar códigos de pagamento, comum em departamentos financeiros, também aumenta o risco de alteração automática das informações. Isso ocorre porque o malware monitora exatamente esse tipo de ação para substituir dados antes da confirmação da transação.

Além disso, a utilização de certificados digitais falsificados permite que páginas fraudulentas exibam o símbolo de conexão segura (HTTPS), o que pode reduzir a suspeita durante o acesso a sites financeiros.

Como reduzir o risco de fraudes digitais

Algumas medidas podem ajudar a diminuir a possibilidade de infecção e fraudes durante transações financeiras online:

1. Verificar com atenção anúncios patrocinados antes de baixar programas;
2. Instalar aplicativos apenas em sites oficiais dos desenvolvedores;
3. Manter antivírus atualizado no computador;
4. Atualizar regularmente o sistema operacional e o navegador;
5. Conferir os dados de pagamento antes de confirmar qualquer transferência.

No caso de transferências via Pix, usuários também podem contestar a operação diretamente no aplicativo do banco caso identifiquem irregularidades após a transação.

Com informações da Folha de S. Paulo