# PROC — GoPix: Sequestro de Transações PIX via Clipboard Hijacking ## Visão Geral O **GoPix** é um malware brasileiro especializado em **clipboard hijacking** para sequestro de pagamentos do sistema PIX do Banco Central do Brasil. O mecanismo é direto: o malware monitora o clipboard (área de transferência) do Windows continuamente, e quando detecta um padrão que corresponde a uma chave PIX (CPF, CNPJ, email, telefone, chave aleatória) ou um QR Code PIX (string `000201`), **substitui automaticamente pela chave PIX dos criminosos**. A vítima não vê nenhuma diferença — ela copia a chave PIX correta, mas quando cola no campo da transação bancária, o destino já foi silenciosamente trocado. ## Técnica MITRE - **Tática:** Collection - **Técnica:** [[t1115-clipboard-data|T1115 - Clipboard Data]] (leitura e modificação do clipboard) - **Técnicas adicionais:** [[t1055-process-injection|T1055]], [[t1090-proxy|T1090]], [[t1562-impair-defenses|T1562]] ## Diagrama de Sequência — Sequestro de PIX ```mermaid sequenceDiagram participant V as Vítima participant GX as GoPix (Processo Injetado) participant CB as Clipboard Windows participant B as App do Banco participant C2 as Servidor C2 GoPix participant ATK as Chave PIX dos Criminosos note over V: Fase 1 — Infecção V->>V: Acessa site falso ("WhatsApp PC", "Adobe updaté") V->>V: Download de ZIP → executa instalador MSI V->>GX: GoPix instalado, injetado em explorer.exe note over GX,CB: Fase 2 — Monitoramento Contínuo do Clipboard loop A cada 500ms GX->>CB: GetClipboardData() — lê conteúdo atual alt Conteúdo é chave PIX ou QR Code PIX GX->>C2: Notifica transação detectada C2->>ATK: Retorna chave PIX do criminoso ativo GX->>CB: SetClipboardData() — substitui pelo PIX criminoso note over CB: Clipboard agora contém chave PIX FALSA else Conteúdo não é PIX GX->>GX: Aguarda próximo tick end end note over V,B: Fase 3 — Transação Fraudulenta (Vítima Não Percebe) V->>CB: Copia chave PIX legítima do destinatário note over CB: GoPix substitui chave ANTES do usuário colar V->>B: Abre app do banco → clica em "Pagar" V->>B: Cola chave PIX (já é a dos criminosos) B->>B: Banco mostra nome do destinatário (conta laranjá ou verificação) V->>B: Confirma transação sem verificar destinatário B->>ATK: Transferência PIX para criminosos ``` ## Passo a Passo Detalhado ### Fase 1 — Vetor de Distribuição: SEO Poisoning e Malvertising O GoPix usa **SEO poisoning** como vetor primário: quando usuários pesquisam "WhatsApp Web" ou "Zoom download" no Google, os primeiros resultados patrocinados são sites falsos que distribuem o malware. O usuário acredita estar baixando o app legítimo. O instalador falso usa técnicas de mascaramento ([[t1036-masquerading|T1036]]) — ícones de aplicativos legítimos, nomes de arquivo convincentes (`WhatsAppSetup.msi`, `ZoomInstaller.exe`). A campanha foi documentada com **mais de 90.000 tentativas de infecção** registradas pela Kaspersky entre 2023-2024. ### Fase 2 — Instalação e Injeção de Processo O MSI dropper instala o GoPix em `%APPDATA%` e usa injeção de processo ([[t1055-process-injection|T1055]]) para esconder o malware dentro de `explorer.exe` ou `svchost.exe`. Isso torna o processo mais difícil de detectar — o código malicioso roda dentro de um processo com contexto de sistema legítimo. A persistência é estabelecida via tarefa agendada e Run key no registro, garantindo que o GoPix sejá iniciado automaticamente após reboot. ### Fase 3 — Lógica de Detecção de Chaves PIX O mecanismo de detecção no clipboard é específico para o ecossistema bancário brasileiro: **Padrões detectados pelo GoPix:** - **CPF**: `\d{3}\.\d{3}\.\d{3}-\d{2}` ou `\d{11}` - **CNPJ**: `\d{2}\.\d{3}\.\d{3}\/\d{4}-\d{2}` - **Email**: Qualquer string com `@` e domínio - **Telefone**: `\+55\d{10,11}` ou formato nacional - **Chave aleatória**: UUID formato `xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx` - **QR Code Payload PIX**: Strings iniciando com `000201` (formato padrão EMVCo para Pix) Quando qualquer padrão é detectado, o GoPix consulta o servidor C2 para obter a chave PIX de substituição ativa. Há rotação de chaves PIX — para dificultar bloqueio pelas autoridades. ### Fase 4 — Por que a Vítima Não Percebe O ataque é psicológicamente eficaz porque a maioria das pessoas não verifica o destinatário PIX antes de confirmar: 1. O campo "chave PIX" aparece preenchido (com a chave trocada) — parece normal 2. O banco pode mostrar o nome do portador — mas os criminosos usam contas laranjá (CPF de terceiros) 3. A transação PIX é instantânea — quando a vítima percebe, o dinheiro já foi transferido 4. Não há aviso visual de que o clipboard foi modificado — operação silenciosa ## Relevância Específica para o Brasil O PIX foi lançado em novembro de 2020 e tornou-se o meio de pagamento mais utilizado no Brasil rapidamente (300+ milhões de transações diárias). Sua popularidade o torna o alvo mais atrativo para fraude financeira no país. O GoPix é o primeiro malware documentado específicamente desenhado para o ecossistema PIX. ## Oportunidades de Detecção | Etapa | Indicador | Ferramenta | |-------|-----------|-----------| | Instalação | MSI executado de path em `Downloads/Temp` com ícone de app legítimo | EDR | | Injeção | Processo `explorer.exe` ou `svchost.exe` com código injetado de path externo | EDR — Memory Integrity | | Polling clipboard | Acesso de alta frequência ao clipboard via API (>1x/segundo) de processo não-UI | EDR Behavioral | | C2 | Requisição HTTP de processo sistema para IP sem reputação ao copiar texto | NDR / Proxy | | Persistência | Run key ou task com path em `%APPDATA%` | SIEM / Sysmon | ## Mitigações 1. **EDR com proteção de clipboard** — alertar sobre leitura/modificação de clipboard por processos não-UI 2. **Sempre verificar o nome do destinatário** antes de confirmar qualquer transação PIX — o banco exibe o nome associado à chave 3. **Não baixar software de sites patrocinados no Google** — usar apenas lojas oficiais (Google Play, App Store, sites oficiais dos vendors) 4. **Antivirus com proteção de banking** — soluções como Kaspersky têm módulos de proteção de transações financeiras 5. **Limite de transações PIX** — configurar limite diário baixo no app do banco para minimizar exposição - [[gopix-campaign|GoPix Campaign]] — campanha completa documentada - [[t1115-clipboard-data|T1115 - Clipboard Data]] — técnica MITRE central - [[t1055-process-injection|T1055 - Process Injection]] — método de ocultação do malware - [[t1036-masquerading|T1036 - Masquerading]] — disfarce como app legítimo - [[s0531-grandoreiro|Grandoreiro Operators]] — outro malware bancário brasileiro (overlay) - [[proc-grandoreiro-overlay-attack|PROC - Grandoreiro Overlay Attack]] — procedimento comparável - [[financial|Setor Financeiro]] — setor alvo principal - [[_techniques|Índice de TTPs]] — visão geral --- *Fonte: [Kaspersky — GoPix: Targeting PIX Payments in Brazil](https://securelist.com/gopix-targets-pix-payments/110398/)* *Fonte: [CERT.br — Alerta sobre malware PIX hijacking](https://www.cert.br/)* *Fonte: [Banco Central do Brasil — Segurança PIX](https://www.bcb.gov.br/estabilidadefinanceira/pix)*