Um vírus de computador que frauda compras online alterando o destino da transferência ganhou novas funções. Agora, além do Pix, o chamado GoPix desvia pagamento de boleto e operações com criptomoedas.
O GoPix circula desde 2023, por meio de campanhas de anúncios fraudulentos no Google Ads. “Os sites falsos usados na fraude ficam poucas horas no ar e tem um público bem definido”, afirma Fabio Assolini, diretor da equipe de pesquisa da Kaspersky para América Latina.
O gigante das buscas diz que mantém monitoramento ativo de campanhas criminosas. De acordo com o dado mais recente da empresa, o Google tirou do ar, em 2024, 415 milhões de anúncios ligados a fraudes financeiras.
De acordo com Assolini, o vírus ainda tem uma atuação seletiva para desviar grandes valores e deixar menos alertas para o sistema bancário. Antes de executar o golpe, o GoPix pede um “score de rede”, similar a avaliação do Serasa, para testar se aquele computador é de pessoa física ou de uma empresa. O alvo preferencial dessa quadrilha são as companhias, que movimentam valores mais altos de uma só vez.
O vírus, uma vez instalado no sistema Windows do computador ou notebook, monitora tudo o que é copiado e colado. Se uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas for copiado, o GoPix pode alterar esses dados no momento da colagem, redirecionando o dinheiro para os criminosos sem que a vítima perceba.
A alteração dos dados é feita com uma ferramenta chamada Proxy que redireciona o usuário para um servidor local onde estão os comandos para executar o golpe. Assim, os criminosos interceptam e alteram as informações enquanto o usuário navega em sites de bancos legítimos.
Esta recente atualização do Gopix representa um aumento do escopo da quadrilha para incluir pessoas físicas que movimentam altas quantias. As criptomoedas lastreadas no dólar, chamadas de stablecoins, têm popularidade crescente em operações de câmbio e compras de importados online. Em 2025, mais de 90% das transações com criptoativos no Brasil usaram a stablecoin USDT, da empresa Tether.
A quadrilha por trás do GoPix consegue fraudar até o certificado de conexão segura indicado pelo código HTTPS -o pequeno cadeado ao lado do endereço do site. Para isso, eles usam um certificado digital falso.
COMO SE PROTEGER
– Atente-se ao conteúdo de anúncios patrocinados no Google, especialmente para baixar aplicativos
– Baixe programas apenas nos sites oficiais dos desenvolvedores
– Mantenha antivírus atualizado
– Atualize o Windows e o navegador regularmente
– Antes de confirmar qualquer transferência, verifique se a chave Pix, o código do boleto ou o endereço da carteira não foram alterados
– No caso de transações via Pix, é possível contestá-las no app do banco
