# GoPix Campaign ## Visão Geral **GoPix** é um trojan bancário brasileiro sofisticado descoberto e analisado em profundidade pela Kaspersky GReAT em 2026, embora ativo desde 2023. A campanha representa um salto técnico significativo no ecossistema de malware financeiro brasileiro: enquanto trojans tradicionais como [[s0531-grandoreiro]] e [[s0373-astaroth|Guildma]] dependem de overlays visuais e engenharia social direta, o GoPix opera de forma quase invisível via ataques **man-in-the-browser** que interceptam e modificam transações Pix, boletos e criptomoedas em tempo real. O malware acumulou mais de **90.000 tentativas de infecção** detectadas pela Kaspersky até março de 2026, com crescimento consistente ano a ano. Seu principal diferencial técnico é o uso de **arquivos PAC (Proxy AutoConfig)** customizados para interceptar tráfego HTTPS de instituições financeiras, combinado com injeção de certificados raiz maliciosos diretamente na memória do navegador - tornando a interceptação indetectável por ferramentas de segurança convencionais. **Motivação:** Fraude financeira direta - desvio de pagamentos Pix, boletos e transações cripto. ## Attack Flow ```mermaid flowchart TD A["🎯 Malvertising no Google Ads<br/>impersonando WhatsApp, Chrome, Correios"] --> B["Página de download maliciosa<br/>Filtro por IP brasileiro - ignora bots"] B --> C["NSIS Installer assinado<br/>certificado roubado 'PLK Management Limited'"] C --> D{Avast instalado?} D -->|Sim| E["Encerra infecção<br/>Evita sandbox/análise"] D -->|Não| F["Shellcode ofuscado<br/>DLL side-loading"] F --> G["Dropper + Módulo principal<br/>Execução apenas em memória"] G --> H["Geração de arquivo PAC malicioso<br/>CRC32 de hosts financeiros alvo"] H --> I["Injeção de certificado raiz<br/>na memória do navegador"] I --> J["🔀 MitM ativo<br/>Pix/boleto/cripto interceptado e substituído"] J --> K["Transferência para conta<br/>controlada pelos atacantes"] ``` ## Técnica Central: MitM via PAC + Certificado Injetado O GoPix usa duas técnicas combinadas para interceptar transações sem acionar alertas do sistema operacional: 1. **Arquivo PAC dinâmico:** Gera um Proxy AutoConfig com hashes CRC32 dos domínios de instituições financeiras-alvo. O navegador é configurado para rotear tráfego desses domínios pelo proxy controlado pelo malware - mas apenas para processos de navegador (verificação do hash do processo), evitando que ferramentas de análise detectem o proxy. 2. **Certificado raiz injetado em memória:** Injeta um certificado de autoridade raiz malicioso diretamente na memória do navegador (dois certificados observados: um expirado em janeiro de 2025, outro válido até fevereiro de 2027). Isso permite decriptar e modificar tráfego HTTPS sem alertas do sistema. ## Atores Envolvidos A campanha GoPix é atribuída a um **grupo de cibercriminosos brasileiro** com alto nível técnico. A Kaspersky GReAT descreve o grupo como adotando "técnicas APT-like" para persistência e evasão. Características do grupo: - Desenvolvedores com conhecimento profundo do ecossistema financeiro brasileiro (Pix, boletos, bancos-alvo) - Operação de curto prazo de servidores C2 para dificultar rastreamento de infraestrutura - Uso de certificados de assinatura roubados de software legítimo para bypass de detecção - Implementação de filtragem de vítimas por IP brasileiro (ignora pesquisadores e bots internacionais) ## Impacto LATAM/Brasil O GoPix é uma ameaça **exclusivamente brasileira** por design, explorando a infraestrutura única do sistema Pix: - **90.000+ tentativas de infecção** detectadas pela Kaspersky até março de 2026 - Alvejá clientes de bancos brasileiros - qualquer usuário de Pix, boleto ou cripto é potencial vítima - Impacto financeiro direto: desvio silencioso de pagamentos sem alertas ao usuário - A filtragem por IP garante que apenas usuários brasileiros sejam infectados, maximizando eficácia - Campanhas de malvertising via Google Ads tornam a distribuição escalável e difícil de bloquear via listas negras estáticas - Setores afetados: [[financial]] (bancos, fintechs, corretoras) e [[cryptocurrency|criptomoedas]] ## Indicadores de Comprometimento > [!ioc]- IOCs - GoPix Campaign (TLP:GREEN) > **Certificados digitais abusados:** > - Assinatura de código: `PLK Management Limited` (certificado roubado usado em instaladores NSIS) > - Certificado raiz malicioso #1: expirado em janeiro de 2025 > - Certificado raiz malicioso #2: válido até fevereiro de 2027 > > **Comportamento de rede:** > - Arquivo PAC gerado dinâmicamente com hashes CRC32 de dominios bancarios brasileiros > - Trafego roteado via proxy local para dominios financeiros (apenas processos de navegador) > - Dominios C2 de curta duracao (TTL baixo, registros recentes, rotacao frequente) > > **Artefatos no host:** > - Instaladores NSIS com certificado `PLK Management Limited` > - Arquivos PAC em caminhos incomuns do sistema > - Certificados raiz nao reconhecidos injetados na memoria do navegador (nao no sistema) > - DLL side-loading via dropper em memoria > - Verificação anti-sandbox: encerra se Avast esta instalado > > **Fontes:** [Kaspersky GReAT](https://securelist.com/) · [Kaspersky LATAM](https://latam.kaspersky.com/blog/) ## Mitigação - Verificar periodicamente os certificados raiz instalados no sistema e no navegador - Usar soluções de segurança com detecção comportamental (não apenas baseada em assinaturas YARA) - Desconfiar de instaladores de software distribuídos via anúncios no Google (verificar URL diretamente nos sites oficiais) - Habilitar autenticação em dois fatores (2FA) no aplicativo do banco - mesmo que o pagamento sejá interceptado, uma confirmação adicional pode prevenir o desvio - Para organizações: implementar DNS filtering e bloquear configuração de proxy por aplicações não autorizadas **Malware:** [[gopix]] **TTPs:** [[t1566-phishing|T1566 - Phishing]] · [[t1090-proxy|T1090 - Proxy]] · [[t1055-process-injection|T1055 - Process Injection]] · [[t1036-masquerading|T1036 - Masquerading]] **Campanhas relacionadas:** [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]] · [[Guildma Campaign]] · [[venon-banking-campaign-2026|VENON Banking Campaign 2026]] **Setores:** [[financial]] · [[cryptocurrency|criptomoedas]] **Contexto regulatório:** [[sources|CERT.br]] · [[Banco Central do Brasil]]