Vírus que altera Pix agora também desvia boletos e criptomoedas

• 23/03/2026

   
   

  
  

   
  

  

  Um malware utilizado em fraudes financeiras pela internet passou a ter novas funcionalidades. Além de alterar transferências feitas via Pix, o vírus agora também consegue modificar pagamentos realizados por boletos bancários e operações com criptomoedas.

  De acordo com relatório divulgado nesta segunda-feira (16) pela empresa de cibersegurança Kaspersky, o programa malicioso, conhecido como GoPix, utiliza um recurso legítimo do navegador para redirecionar páginas da internet. A estratégia permite modificar informações sensíveis durante uma transação financeira, como chave Pix, código de boleto ou endereço de carteira digital, alterando o destino do dinheiro.

  Essa manipulação ocorre de forma discreta, sem deixar evidências visíveis no computador da vítima, o que dificulta a identificação da fraude. Segundo a empresa de segurança digital, o trojan bancário se destaca entre as ameaças financeiras detectadas no país. O impacto financeiro total causado pela ação do grupo responsável ainda não foi mensurado.

  Como o vírus se espalha na internet
  A circulação do GoPix foi identificada desde 2023, principalmente por meio de campanhas fraudulentas em anúncios patrocinados. Em muitos casos, usuários são direcionados a páginas falsas que simulam sites oficiais de programas ou serviços.

  Esses sites fraudulentos permanecem disponíveis por períodos curtos e costumam ser direcionados a perfis específicos de usuários. A prática tem como objetivo reduzir a possibilidade de detecção e ampliar a eficiência da fraude.

  A Google afirma manter monitoramento constante desse tipo de campanha. Dados recentes divulgados pela empresa indicam que, apenas em 2024, foram removidos 415 milhões de anúncios relacionados a fraudes financeiras.

  Ataques priorizam alvos com maior movimentação financeira
  O funcionamento do malware inclui uma etapa de seleção das possíveis vítimas. Antes de disponibilizar o arquivo malicioso para download, o sistema avalia características da rede utilizada pelo usuário.

  Essa análise, chamada de “score de rede”, permite identificar se o computador pertence a uma empresa ou a uma pessoa física. O objetivo é priorizar dispositivos com maior probabilidade de realizar transações de valores elevados.

  Caso o usuário seja considerado um alvo potencial, o site fraudulento apresenta um arquivo para download que simula ser um instalador legítimo, como um suposto aplicativo do WhatsApp ou outro serviço popular. Quando o perfil não corresponde ao interesse dos criminosos, o download do programa malicioso não é exibido.

  Após instalado em computadores com sistema Microsoft Windows, o vírus passa a monitorar dados copiados e colados pelo usuário. Se o sistema identificar informações relacionadas a pagamentos — como chaves Pix, códigos de boletos ou endereços de carteiras de criptomoedas — esses dados podem ser substituídos automaticamente por outros controlados pelos criminosos.

  Técnica usada impede identificação do golpe
  Para executar a fraude, o malware utiliza uma ferramenta conhecida como proxy, responsável por redirecionar a navegação para um servidor local. Nesse ambiente, os comandos do golpe são executados enquanto o usuário acessa páginas legítimas de bancos ou plataformas financeiras.

  Esse método permite interceptar e alterar as informações no momento da transação, mantendo a aparência de normalidade para a vítima.

  A atualização mais recente do GoPix ampliou o alcance do esquema, que agora também mira operações envolvendo criptoativos. Entre os ativos digitais utilizados no Brasil, as chamadas stablecoins, criptomoedas vinculadas a moedas tradicionais, ganharam destaque em operações financeiras.

  Dados de mercado indicam que, em 2025, mais de 90% das negociações com criptomoedas realizadas no país envolveram a Tether (USDT).

  Impactos e atenção para empresas e escritórios contábeis
  Empresas e escritórios contábeis podem se tornar alvos relevantes desse tipo de ataque, principalmente por operarem rotinas que envolvem pagamentos frequentes e valores elevados.

  Processos financeiros realizados em ambiente digital, como liquidação de boletos, transferências via Pix e pagamentos a fornecedores, podem ser manipulados caso o computador utilizado esteja infectado.

  A rotina de copiar e colar códigos de pagamento, comum em departamentos financeiros, também aumenta o risco de alteração automática das informações. Isso ocorre porque o malware monitora exatamente esse tipo de ação para substituir dados antes da confirmação da transação.

  Além disso, a utilização de certificados digitais falsificados permite que páginas fraudulentas exibam o símbolo de conexão segura (HTTPS), o que pode reduzir a suspeita durante o acesso a sites financeiros.

  Como reduzir o risco de fraudes digitais
  Algumas medidas podem ajudar a diminuir a possibilidade de infecção e fraudes durante transações financeiras online:

  Verificar com atenção anúncios patrocinados antes de baixar programas;
  Instalar aplicativos apenas em sites oficiais dos desenvolvedores;
  Manter antivírus atualizado no computador;
  Atualizar regularmente o sistema operacional e o navegador;
  Conferir os dados de pagamento antes de confirmar qualquer transferência.
  No caso de transferências via Pix, usuários também podem contestar a operação diretamente no aplicativo do banco caso identifiquem irregularidades após a transação.

  Fonte: Contábeis