Kaspersky descobre golpe que intercepta pagamento do PIX feito pelo PC

Se você faz compras online e as paga via PIX, então é melhor ficar de olho: segundo levantamento da Kaspersky, um novo malware, chamado “GoPix”, consegue interceptar tentativas de pagamento pela modalidade quando feitas por desktops ou notebooks. A partir daí, há um redirecionamento do valor transferido para uma outra conta, controlada pelo hacker.

A empresa de segurança afirma que o golpe em si não é novo, mas que essa versão especificamente desenhada para impactar pagamentos via PIX é sim inédita. Originalmente, a fraude foi identificada ao final de 2022, mas vem passando por atualizações para afetar públicos e plataformas maiores.

Imagem: Diego Thomazini/Shutterstock

Uma versão anterior à do GoPix já havia sido identificada pela Kaspersky – esta, especificamente voltada a dispositivos móveis (smartphones, tablets). A nova, no entanto, segue um método diferente da primeira:

“Outra diferença é que este golpe afeta também empresas – seja elas públicas ou privadas. Ao analisar o código do malware – que foi nomeado de GoPIX – verificamos que ele não atua em transferência entre indivíduos, mas apenas em pagamentos de compras online. 

Nesta modalidade, o lojista gera um tipo de cobrança via PIX para o cliente efetuar o pagamento. O mais comum é o consumidor copiar e colar (CLT+C e CLT+V) essa informação para efetuar o pagamento – e nesses breves segundos é feita o troca da chave para redirecionar o dinheiro para o criminoso.” – Fabio Assolini, diretor da Equipe Global de Pesquisa e Análise da Kaspersky para a América Latina

No caso mais recente, a disseminação acontece por um velho inimigo da cibersegurança: o acesso a links maliciosos, normalmente veiculados por meio de anúncios publicitários falsos. Assolini disse que o GoPix funciona de maneira similar – ainda que inversa – ao conceito de “defesa por camadas”. Ele apelidou o processo de “infecção por etapas”, em uma simulação que “divulga” o WhatsApp Web por meio de link falso.

O processo, descrito em cinco etapas, segue descrito abaixo:

1. Logo que a vítima acessa a página falsa pelo anúncio falso, esta página usa um serviço legítimo de antifraude para classificar a vítima. Caso ela receba a pontuação desejada, a infecção segue. Caso contrário, o criminoso exibe uma mensagem que explica como usar o app de mensagens e não há infecção nesse caso. Os dados acessados nesta etapa são detalhes e dados do dispositivo e navegador usado pelo internauta. Esta etapa acontece de maneira transparente para a vítima (sem ela perceber) e tem como objetivo garantir que apenas as vítimas desejadas sejam atingidas. Evita chamar atenção exagerada para o golpe

2. Nesta etapa é feita uma checagem para saber se a porta 27275 está disponível. O resultado determinará por qual dos dois endereços web o instalador (LNK ou .exe) do GoPIX será baixado – neste caso, o instalador está disfarçado de WhatsApp Web. O objetivo desta checagem é evitar a detecção da instalação do malware por soluções que impeçam o download de um arquivo executável (.exe). Para burlar essa barreira, o malware é entregue como um arquivo ZIP (com um arquivo LNK dentro dele) que usa técnicas para ocultar a ação maliciosa (PowerShell ofuscado). Caso não haja essa barreira, a instalação do pacote é feita diretamente.

3. Mudanças frequentes no instalador e assinatura digital legítima novamente evitam a detecção da infecção e confundir algumas soluções de segurança se passando por uma instalação legítima. O certificado usado é legítimo, mas foi roubado pelo criminoso.

4. Download do pacote principal do GoPIX (versão protegida por criptografia). Nessa etapa, o instalador que já está na máquina infectada compartilha dados com o servidor do criminoso. Dados enviados: nome do computador, existência de um antivírus e qual o sistema operacional é usado. Como resposta, o servidor envia o pacote de instalação do malware principal (GoPIX). Esta etapa é composta por cinco fases que usam técnicas de ofuscamento. Elas têm duas funções: dificultar a análise do malware (trabalho feito pela equipe da Kaspersky) e evitar a detecção dos arquivos do malware na fase de download.

5. Execução do malware (instalação e persistência) a fim de realizar a instalação. Um dos cinco arquivos baixados na etapa anterior descriptografa o malware (em memória) e o insere este programa em um processo legítimo para concluir a infecção do GoPIX. A descriptografia em memória e a injeção do programa malicioso em um processo legítimo são técnicas para evitar a detecção do ataque no processo de instalação do malware.

A partir daí, o malware entra em uma espécie de “estado de espera”, pronto para agir no instante em que a vítima faz um pagamento via PIX pelo computador. A Kaspersky ressalta que o golpe é especificamente focado nas compras online e não nas transferências de pessoa para pessoa. A empresa argumenta que, desta forma, o hacker pode maximizar os lucros (as compras online tendem a ter valores mais expressivos) sem chamar a atenção do usuário impactado. Mas há formas de evitar a pancada:

“Essa técnica é uma ‘vantagem’ para os consumidores ou funcionários de empresas, pois quando o código alterado é colado no internet banking, é possível identificar a fraude revisando atentamente os detalhes da transferência  – o nome do destinatário será diferente do nome da loja onde a compra está sendo efetuada”, explica Assolini, que continua: “vale dizer que esta revisão é uma boa prática sempre, pois evita inclusive problema de erro na digitação do valor, como a adição ou falta de algum dígito.”

Desde janeiro deste ano, a Kaspersky alega 10.443 bloqueios desse tipo de ameaça pelos seus sistemas de defesa cibernética. A julgar pelo alerta da empresa, no entanto, é provável que o número total de tentativas de ataques do tipo seja maior.

Como mecanismos de defesa, a companhia de segurança digital recomenda que usuários priorizem resultados orgânicos nos mecanismos de busca e evitem clicar em links patrocinados. Embora isso seja variável, presumindo que você use o Google, geralmente “link patrocinado” corresponde ao primeiro ou os dois/três primeiros resultados da busca.

Mais além, é importante manter-se atento ao resumo da transferência via PIX. Antes de confirmar o pagamento, confira todos os detalhes da transação, sobretudo o nome de quem vai recebê-lo: neste modelo de golpe, o destinatário apresentará um nome diferente daquele da loja (vale citar que isso também pode ser difícil, já que muitas marcas usam um “nome fantasia” para seus produtos, e outro para identificar a própria empresa).

E como sempre, empregue soluções de segurança que possam monitorar constantemente a saúde de suas plataformas, como mecanismos antivírus.