Um novo vírus frauda compras on-line realizadas pelo computador alterando o destinatário do Pix no momento da transferência.
O programa infecta a máquina do usuário e pode prejudicar qualquer site que aceite essa forma de pagamento, segundo a Kaspersky. A empresa de segurança digital divulgou informações sobre o vírus, batizado de GoPix, na quinta-feira (26).
O pesquisador Fábio Marenghi descobriu que um dos pontos de infecção era um site falso do WhatsApp Web, versão para navegadores do app de mensagens.
Leia mais:
Paraná: Programa 'Parceiro da Escola' é suspenso pelo Tribunal de Contas
Ato contra 6x1 na Paulista tem xingamento a Nikolas Ferreira e ausência da CUT e PT
Concurso para Ministério da Saúde terá 319 vagas em cargos de nível médio e superior
Prefeitura publica edital para concessão da Rodoviária de Londrina por 30 anos
Esse site falso aparecia na primeira posição da pesquisa do Google quando usuários digitavam WhatsApp com a grafia errada "Watsap Web." O site foi retirado do buscador após contato da Kaspersky. Marenghi também encontrou um instalador do GoPix que usava o site dos Correios como isca.
Nos computadores infectados, o programa espiona a vítima por um tempo até detectar o momento de compra online via Pix –aquela feita escaneando um QR Code ou copiando um código. Segundo a Kaspersky, o vírus funciona apenas caso a pessoa escolha a transferência na modalidade copia e cola.
Quando alguém copia o texto, esse trecho é armazenado na memória do computador, na chamada "área de transferência". O GoPix, então, troca o código guardado por outro, cujo destino é a conta do criminoso.
Os usuários podem evitar o golpe ao checar o destinatário do Pix, que nesses casos será diferente da loja ou instituição para a qual a transferência seria feita.
Para se prevenir de instalar o vírus, os cuidados são os usuais: buscar baixar programas apenas de sites oficiais, verificar erros ortográficos no endereço do portal, checar se o site tem criptografia atual a partir do código "https" no início da URL e ter um antivírus instalado.
A vítima só é infectada se abrir o programa baixado ao acessar o site falso.
No caso do GoPix, os cibercriminosos ainda adotam estratégias para tentar burlar os antivírus. O site falso do WhatsApp, por exemplo, apresentava a opção de download do vírus apenas depois de verificar que a pessoa que o acessava tinha indícios de comportamento humano, para despistar bots de monitoramento.
Além disso, o portal falso rodava um teste para checar a presença de antivírus no computador da vítima. Caso houvesse, o link de download levava a uma pasta compactada, formato ".zip", com um atalho para o programa. Esse passo também dificultava a detecção do vírus, normalmente um arquivo executável, em formato ".exe."
Vírus que monitoram a área de transferência não são novidade, segundo a empresa de cibersegurança, mas esta foi a primeira vez que a empresa encontrou um programa desses dedicado a fraudar Pix.
O antivírus afirma que já bloqueou o GoPix no Brasil em 10 mil ocasiões até outubro deste ano –a primeira vez foi em novembro de 2022. Esse número se refere apenas a quem tem o antivírus da Kaspersky instalado.
Foi só neste mês que o pesquisador Fábio Marenghi conseguiu rastrear a cadeia de aplicação desse golpe desde o início.
Em smartphones Android, já foram identificados vírus que desviam Pix no aplicativo bancário ou acessam o celular de maneira remota para fazer transações fraudulentas, golpe que ficou conhecido como "mão fantasma."