gopix - RunkIntel

# GoPix > Trojan bancario Windows mais sofisticado já documentado com origem brasileira. Implant exclusivamente em memoria com ataque MitM via PAC files e certificados falsos injetados na memoria do navegador. Rastreado pela Kaspersky GReAT desde 2023 com 90.000 tentativas de infecção até marco de 2026. ## Visão Geral **GoPix** e um trojan bancario Windows de origem brasileira rastreado pela [[kaspersky|Kaspersky GReAT]] desde 2023. Ativo desde dezembro de 2022, registrou **90.000 tentativas de infecção** até marco de 2026, com deteccoes crescendo continuamente. Representa o nivel mais alto de sofisticacao já documentado em malware originado no Brasil, adotando técnicas tipicas de grupos APT: implants somente em memoria, C2s de vida útil de horas e evasão sistematica de YARA e scanners de memoria. | Campo | Detalhe | |-------|---------| | Plataforma | Windows | | Tipo | Banking Trojan - Memory-only implant + MitM | | Descoberta | Kaspersky GReAT (2023) | | Infeccoes | 90.000 tentativas até marc 2026 | | Status | Ativo - crescimento anual documentado | | Alvos | Bancos, fintechs e cripto brasileiros | ## Como Funciona ### Vetor de Distribuição - Malvertising Seletivo O GoPix usa **malvertising via Google Ads** impersonando servicos populares: - WhatsApp Web (versao desktop) - Google Chrome (atualização falsa) - Correios (rastreamento de encomendas) As paginas de destino usam **servicos de reputacao de IP** para filtrar vitimas: - Bots e IPs de empresas de segurança recebem paginas dummy - Ambientes de sandbox sao detectados e nao recebem payload - Apenas usuarios residenciais brasileiros com interesse em finanças recebem o instalador malicioso ### Detecção do Avast Safe Banking O JavaScript de entrega verifica a porta localhost:27275 (usada pelo Avast Safe Banking): - **Porta aberta (Avast ativo):** entrega ZIP com LNK + PowerShell ofuscado (bypassa bloqueio do Avast para executaveis) - **Porta fechada (sem Avast):** entrega instalador NSIS assinado com certificado roubado da empresa PLK Management Limited ### Cadeia de Infecção - Memory-Only 1. PowerShell inicial coleta informações do sistema e envia ao C2 2. C2 retorna JSON de configuração com nomes de módulos e payloads encriptados 3. Script PowerShell ofuscado decripta payload `ps` e injeta via stdin (nunca toca o disco) 4. Shellcode alocado em memoria (x86/x64) com erasing das assinaturas MZ de DLLs 5. **Implant carregado exclusivamente em memoria** - zero artefatos em disco para YARA ### Ataque MitM via PAC Files - Técnica Inedita A inovacao central do GoPix e o uso de **Proxy AutoConfig (PAC) files** para MitM invisivel: 1. GoPix implanta um servidor HTTP proxy local no endpoint 2. Gera PAC files dinâmicamente com checksums **CRC32** nos campos `host` - mascara dominios-alvo de análise estática 3. Apenas trafego de browsers legitimos e redirecionado (verifica CRC32C do hash do executavel do processo) 4. Injeta **certificado digital falso diretamente na memoria do navegador** - invisivel ao OS e ferramentas de auditoria 5. Intercepta e manipula sessoes HTTPS em sites bancarios em tempo real **Exemplos de CRC32 de dominios-alvo (Securelist):** | CRC32 | Dominio-alvo | |-------|-------------| | 8CA8ACFF | www2.banco****.com.br | | AD8F5213 | autoatendimento.*****.com.br | | B477FE70 | internetbanking.******.gov.br | ### Capacidades de Fraude | Funcionalidade | Detalhe | |---------------|---------| | Clipboard hijacking PIX | Substitui chaves PIX copiadas pelo destino do atacante | | Clipboard hijacking Boleto | Manipula linhas digitaveis de boletos bancarios | | Clipboard hijacking Cripto | Redireciona enderecos Bitcoin e Ethereum | | MitM ativo HTTPS | Intercepta trafego bancario via PAC + certificado em memoria | | Memory-only | Zero artefatos em disco - YARA ineficaz | | Anti-análise | Verifica IP via servicos de reputacao antes de entregar payload | | C2 evasivo | Servidores C2 com vida útil de horas - substituicao rapida | ## Attack Flow ```mermaid graph TB A["🎯 Malvertising Google Ads WhatsApp / Chrome / Correios Filtro por IP de reputacao"] --> B["💾 Instalador NSIS Certificado roubado PLK ou LNK bypass Avast"] B --> C["⚡ PowerShell Memory Load Payload via stdin pipe Zero artefatos em disco"] C --> D["🔧 PAC File MitM Proxy local + CRC32 Certificado falso em memoria"] D --> E["✂️ Clipboard Hijacking PIX - Boleto - Cripto Substituicao em tempo real"] D --> F["🔐 HTTPS Interception Browser session hijack Manipulação de transações"] E --> G["💰 Fraude Bancaria C2 de vida útil curta Self-cleanup pos-fraude"] F --> G classDef delivery fill:#c0392b,color:#fff classDef install fill:#2980b9,color:#fff classDef memory fill:#8e44ad,color:#fff classDef mitm fill:#e67e22,color:#fff classDef fraud fill:#e74c3c,color:#fff classDef impact fill:#1a252f,color:#fff class A delivery class B install class C memory class D,E,F mitm class G impact ``` ## Timeline ```mermaid timeline title GoPix - Evolução Temporal 2022-12 : Primeira campanha identificada : Foco inicial em clipboard PIX 2023 : Kaspersky GReAT inicia rastreamento : Memory-only implants documentados : Evasão YARA confirmada 2024 : PAC files com CRC32 host obfuscation : Proxy local MitM 2026-03 : Adicao de boletos e cripto como alvos : Certificados injetados em memoria do browser : 90.000 tentativas de infecção reportadas ``` ## TTPs Mapeados | Técnica | ID MITRE | Descrição | |---------|----------|-----------| | Adversary-in-the-Middle | [[t1557-adversary-in-the-middle\|T1557]] | MitM via PAC files e proxy local | | Browser Session Hijacking | [[t1185-browser-session-hijacking\|T1185]] | Interceptação de sessoes HTTPS bancarias | | Reflective Code Loading | [[t1620-reflective-code-loading\|T1620]] | Implant carregado exclusivamente em memoria | | Obfuscated Files | [[t1027-obfuscated-files-or-information\|T1027]] | Encriptacao, hashing API, CRC32 | | Masquerading | [[t1036-masquerading\|T1036]] | Impersonacao de WhatsApp, Chrome, Correios | | PowerShell | [[t1059-001-powershell\|T1059.001]] | Execução via stdin pipe, sem tocar disco | | Process Injection | [[t1055-process-injection\|T1055]] | Shellcode injetado em processos do browser | | Install Root Certificaté | [[t1553-004-install-root-certificate\|T1553.004]] | Certificado falso injetado em memoria do browser | | Clipboard Data | [[t1115-clipboard-data\|T1115]] | Hijacking de PIX, boleto e cripto | ## Relevância LATAM > [!latam] Impacto no Brasil > O GoPix é o malware bancário Windows mais sofisticado de **origem brasileira** já documentado. Foco exclusivo em bancos brasileiros (CRC32 hasheados), portais governamentais estaduais e o sistema PIX. Mais de **90.000 tentativas de infecção** até março de 2026. As técnicas de PAC file MitM e injeção de certificados em memória são comparáveis a ferramentas de grupos APT estado-nação. O GoPix e o caso mais sofisticado de malware bancario Windows com origem brasileira já documentado. As técnicas empregadas - PAC file MitM, injecao de certificados em memoria de browser, implants sem artefatos em disco - sao comparaveis a ferramentas de grupos APT estado-nacao. O foco exclusivo no Brasil demonstrado pelos dominios-alvo (CRC32 hasheados de bancos brasileiros e portais governamentais) confirma um ator com conhecimento profundo do sistema bancario nacional, incluindo portais governamentais estaduais de finanças. A evolução continua (PIX -> Boleto -> Cripto) indica grupo com desenvolvimento ativo e adaptacao a mudanças no comportamento das vitimas. Os 90.000 ataques documentados até marco de 2026 representam prejuizos potenciais de dezenas de milhões de reais ao [[financial|Setor Financeiro]] brasileiro. ## Detecção e Defesa **Para usuarios:** - Nao clicar em anuncios patrocinados do Google para baixar WhatsApp, Chrome ou acessar Correios - Verificar URL antes de inserir credenciais bancarias - MitM pode mascarar alteracoes - Usar solução de segurança financeira que valide portais bancarios em tempo real - Monitorar area de transferencia antes de confirmar chaves PIX ou boletos **Para equipes de segurança:** - Monitorar PAC files configurados sem justificativa em endpoints corporativos - Detectar servidores proxy locais inesperados (porta 8080/3128 em localhost) - Buscar por PowerShell executado via stdin pipe sem arquivo temporario em disco - EDR com capacidade de scan de memoria - detectar shellcode sem artefatos em disco - Bloquear dominios de malvertising conhecidos no proxy corporativo **Deteccoes Kaspersky:** - `HEUR:Trojan-Banker.Win64.GoPix` - `Trojan.PowerShell.GoPix` - `HEUR:Trojan-Banker.OLE2.GoPix` ## Referências - [1](https://securelist.com/gopix-banking-trojan/119173/) Securelist - GoPix Banking Trojan (análise técnica completa) - [2](https://www.kaspersky.com/about/press-releases/kaspersky-reveals-gopix-unprecedentedly-complex-techniques-the-trojan-compromises-customers-of-financial-institutions-in-brazil) Kaspersky Press Release - Marco 2026 - [3](https://www.crowdfundinsider.com/2026/03/267306-trojan-now-impacting-brazilian-financial-institution-clients-malware-employs-advanced-stealth-tactics-analysis/) CrowdFund Insider - GoPix Coverage --- **Ver também:** [[pixpiraté]] - [[brasdex]] - [[guildma]] - [[mekotio]] - [[financial|Setor Financeiro]] - [[_malware]]