GoPix: Brazylijski trojan kradnący twoją pieniądze niewidocznie
Kaspersky wydał alert w marcu 2026 roku dotyczący ewolucji GoPix, brazylijskiego trojana bankowego aktywnego od grudnia 2022 roku. Nowa wersja jest znacznie bardziej niebezpieczna: poza przekierowaniem korporacyjnych transakcji Pix, teraz manipuluje poleceniami przelewu bankowego (boletos) i przechwytuje kryptowaluty, wszystko bez pozostawiania widocznych śladów.
Zgodnie z informacją Fabio Assolini, dyrektora Globalnego Zespołu Badań i Analiz Kasperskiego dla Ameryki Łacińskiej i Europy, GoPix reprezentuje nowe pokolenie złośliwego oprogramowania finansowego łączącego zaawansowane techniki unikania z wyrafinowaną inżynierią społeczną.
Jak GoPix infekuje twój komputer
Atak rozpoczyna się od złośliwych płatnych reklam w Google podszywających się pod legalne usługi, takie jak WhatsApp, Chrome lub Correios (brazylijska służba pocztowa). Strona internetowa przestępcy najpierw analizuje odwiedzających w celu weryfikacji, czy są potencjalnymi celami — brazylijski klientów banków, użytkowników kryptowalut lub pracowników instytucji rządowych/przedsiębiorstw — zanim zaoferuje zainfekowany instalator.
Trzy równoczesne techniki ataku
Monitorowanie schowka: GoPix wymienia klucze Pix, kody przelewów bankowych i adresy portfeli kryptowalut podczas kopiowania i wklejania.
Przechwytywanie ruchu bankowego: Wykorzystując pliki proxy (pliki PAC) wskazujące na serwer lokalny, GoPix przechwytuje całą nawigację w witrynach bankowych i zmienia informacje w czasie rzeczywistym.
Fałszywy certyfikat cyfrowy: Najbardziej wyrafinowana technika wstrzykuje fałszywy certyfikat bezpośrednio do pamięci przeglądarki, czyniąc go praktycznie niewidocznym dla konwencjonalnych narzędzi bezpieczeństwa. Pozwala to trojańcowi przechwytywać poświadczenia i kwoty transakcji.
Dlaczego GoPix jest tak trudny do wykrycia
Serwery dowodzenia i kontroli mają niezwykle krótki okres istnienia. W przypadku Pix i przelewów bankowych, GoPix monitoruje transakcje zamiast widocznych podstawień danych — użytkownik widzi rzeczywistą stronę banku z prawidłowymi wskaźnikami bezpieczeństwa, podczas gdy oszustwo zachodzi za kulisami. Portfele kontrolowane przez przestępców otrzymały ponad R$ 100 000 w transakcjach kryptowalut.
Jak się chronić
- Bądź podejrzliwy wobec płatnych reklam wyszukiwania — wpisz adresy URL bezpośrednio
- Pobieraj oprogramowanie tylko z oficjalnych witryn
- Sprawdź szczegóły odbiorcy przed potwierdzeniem jakiejkolwiek transakcji
- Używaj zaktualizowanego, niezawodnego oprogramowania antywirusowego
- Aktualizuj system operacyjny i przeglądarki
- W przypadku transakcji kryptowalut używaj portfeli sprzętowych (Ledger, Trezor)