Novo vírus frauda compras online por meio do Pix

Um novo vírus ameaça as compras online realizadas por computador ao alterar o destinatário de transferências via Pix. A Kaspersky, empresa de segurança digital, divulgou informações sobre esse malware chamado GoPix na última quinta-feira, dia 26.

O pesquisador Fábio Marenghi identificou um ponto de infecção em um site falso do WhatsApp Web, a versão para navegadores do popular aplicativo de mensagens. Esse site fraudulento ocupava o topo dos resultados de pesquisa no Google quando os usuários digitavam "Watsap Web" com erro de grafia. Após o contato da Kaspersky, o site falso foi removido do mecanismo de busca. Marenghi também encontrou um instalador do GoPix que usava o site dos Correios como isca.

Nos computadores infectados, o vírus espiona o usuário até detectar o momento de uma compra online feita via Pix, normalmente através da leitura de um QR Code ou da cópia e cola de um código. A Kaspersky alerta que o GoPix só opera quando a transferência é feita através da opção "copia e cola".

Quando um usuário copia o texto, ele é armazenado na memória do computador, na chamada "área de transferência". Nesse momento, o GoPix substitui o código copiado por outro, direcionando o pagamento para a conta do criminoso. Para evitar cair nesse golpe, é fundamental verificar o destinatário do Pix, que, nesses casos, será diferente do legítimo.

Para se proteger contra a instalação do vírus, são necessários cuidados comuns, como fazer o download apenas de sites oficiais, verificar erros de ortografia nos endereços da web, conferir se o site possui criptografia, identificada pelo código "https" no início da URL, e manter um antivírus atualizado. A infecção ocorre somente se o usuário abrir o programa baixado ao acessar o site fraudulento.

No caso do GoPix, os cibercriminosos utilizam estratégias para evitar a detecção dos antivírus. O site falso do WhatsApp, por exemplo, disponibilizava o download do vírus apenas após verificar se o visitante tinha comportamento humano, para evitar a identificação por bots de monitoramento.

Além disso, o site fraudulento fazia um teste para verificar a presença de antivírus no computador da vítima. Se fosse detectado, o link de download direcionava para um arquivo compactado no formato ".zip", contendo um atalho para o programa, dificultando ainda mais a detecção do vírus, que normalmente é um arquivo executável no formato ".exe".

A Kaspersky destaca que vírus que monitoram a área de transferência não são uma novidade, mas é a primeira vez que encontram um programa dedicado a fraudar o Pix.

A empresa de antivírus afirma ter bloqueado o GoPix no Brasil em 10 mil ocasiões até outubro deste ano, a primeira delas em novembro de 2022. No entanto, esse número refere-se apenas aos usuários que possuem o antivírus da Kaspersky instalado.

Foi somente neste mês que o pesquisador Fábio Marenghi conseguiu rastrear a origem desse golpe. Em dispositivos Android, já foram identificados vírus que desviam transações Pix pelo aplicativo bancário ou que acessam remotamente o celular para realizar transações fraudulentas, o que ficou conhecido como o golpe da "mão fantasma".