Malware GoPIX

GoPIX é um software malicioso que tem como alvo específico a plataforma de pagamento instantâneo Pix. Essencialmente, esse malware funciona como um clipper, com o objetivo principal de redirecionar as transações realizadas por meio da plataforma Pix. Além disso, funciona como um clipper mais típico, onde também visa transações de criptomoeda.

Esse programa malicioso, conhecido como GoPIX, está em circulação pelo menos desde dezembro de 2022. Por ser o Pix um sistema de pagamentos administrado pelo Banco Central do Brasil (BCB), sua base de usuários é composta predominantemente por cidadãos brasileiros. Consequentemente, as atividades da GoPIX estão concentradas principalmente no Brasil.

No momento em que este artigo foi escrito, as infecções GoPIX eram iniciadas principalmente a partir de sites maliciosos promovidos por meio de anúncios enganosos, uma técnica conhecida como malvertising, uma forma de envenenamento de mecanismos de pesquisa. Atualmente, o malware é baixado de uma de duas fontes, dependendo se o dispositivo da vítima tem a porta 27275 aberta.

Esta porta específica é utilizada por um produto bancário seguro desenvolvido por uma empresa de segurança cibernética. Quando este software está ausente do dispositivo de destino, um pacote de instalação do NSIS é baixado, que inclui scripts do PowerShell. Mais scripts são baixados posteriormente, iniciando o processo de infecção que eventualmente leva ao GoPIX. No entanto, se o software legítimo estiver presente, um arquivo ZIP será baixado. Dentro deste arquivo está um arquivo LNK que contém um script do PowerShell, que avança o processo de infecção.

GoPIX monitora a área de transferência para mais do que Pix

Conforme mencionado anteriormente, o GoPIX funciona como um clipper. O malware deste tipo detecta o conteúdo copiado para a área de transferência (buffer de copiar e colar) e o substitui por informações diferentes. No caso do GoPIX, ele verifica especificamente transferências Pix. Ao identificar uma solicitação de pagamento, altera os dados, redirecionando efetivamente a transação para os cibercriminosos. Notavelmente, as informações do invasor não são codificadas no malware, mas são recuperadas de um servidor de Comando e Controle (C&C), proporcionando flexibilidade.

GoPIX também serve como um clipper que substitui endereços de carteiras de criptomoedas, que é um tipo mais comum de clipper. Porém, os endereços das carteiras Bitcoin e Ethereum são pré-definidos, ao contrário dos dados do Pix, o que permite maior flexibilidade neste último.