Um vírus de computador que frauda compras online alterando o destino da transferência ganhou novas funções. Agora, além do Pix, o chamado GoPix desvia pagamento de boleto e operações com criptomoedas.
Segundo relatório do antivírus Kaspersky divulgado nesta segunda-feira (16), esse programa malicioso explora uma ferramenta legítima do navegador para redirecionar sites -o objetivo é mudar o destinatário da transferência e fazer mudanças sutis na chave Pix, no código do boleto ou na senha criptográfica da criptomoeda.
Com isso, não ficam pistas do golpe no computador, dificultando a detecção do vírus. “Esse trojan bancário brasileiro se consolida como a ciberameaça financeira mais avançada do país”, diz o relatório da empresa. A Kaspersky não consegue rastrear o tamanho do rombo deixado pela quadrilha.
O GoPix circula desde 2023, por meio de campanhas de anúncios fraudulentos no Google Ads. “Os sites falsos usados na fraude ficam poucas horas no ar e tem um público bem definido”, afirma Fabio Assolini, diretor da equipe de pesquisa da Kaspersky para América Latina.
O gigante das buscas diz que mantém monitoramento ativo de campanhas criminosas. De acordo com o dado mais recente da empresa, o Google tirou do ar, em 2024, 415 milhões de anúncios ligados a fraudes financeiras.
De acordo com Assolini, o vírus ainda tem uma atuação seletiva para desviar grandes valores e deixar menos alertas para o sistema bancário. Antes de executar o golpe, o GoPix pede um “score de rede”, similar a avaliação do Serasa, para testar se aquele computador é de pessoa física ou de uma empresa. O alvo preferencial dessa quadrilha são as companhias, que movimentam valores mais altos de uma só vez.
Se o usuário passar nessa triagem, o site oferece o GoPix para download, que simula ser o aplicativo legítimo do serviço que a pessoa buscava (por exemplo, um falso instalador do “WhatsApp Web”). Caso o usuário não seja considerado um alvo, a opção de baixar o programa malicioso não aparece.
O vírus, uma vez instalado no sistema Windows do computador ou notebook, monitora tudo o que é copiado e colado. Se uma chave Pix, um código de boleto bancário ou um endereço de carteira de criptomoedas for copiado, o GoPix pode alterar esses dados no momento da colagem, redirecionando o dinheiro para os criminosos sem que a vítima perceba.
A alteração dos dados é feita com uma ferramenta chamada Proxy que redireciona o usuário para um servidor local onde estão os comandos para executar o golpe. Assim, os criminosos interceptam e alteram as informações enquanto o usuário navega em sites de bancos legítimos.
Esta recente atualização do Gopix representa um aumento do escopo da quadrilha para incluir pessoas físicas que movimentam altas quantias. As criptomoedas lastreadas no dólar, chamadas de stablecoins, têm popularidade crescente em operações de câmbio e compras de importados online. Em 2025, mais de 90% das transações com criptoativos no Brasil usaram a stablecoin USDT, da empresa Tether.
Segundo Assolini, ainda há menos pistas de como os criminosos operam para desviar boletos. Essa forma de pagamento fica ligada a um CNPJ ou CPF e passa por mais etapas de processamento. Por ora, a Kaspersky encontrou um gatilho para acionar o vírus quando o usuário faz esse tipo de operação.
A quadrilha por trás do GoPix consegue fraudar até o certificado de conexão segura indicado pelo código HTTPS -o pequeno cadeado ao lado do endereço do site. Para isso, eles usam um certificado digital falso.
COMO SE PROTEGER
– Atente-se ao conteúdo de anúncios patrocinados no Google, especialmente para baixar aplicativos
– Baixe programas apenas nos sites oficiais dos desenvolvedores
– Mantenha antivírus atualizado
– Atualize o Windows e o navegador regularmente
– Antes de confirmar qualquer transferência, verifique se a chave Pix, o código do boleto ou o endereço da carteira não foram alterados
– No caso de transações via Pix, é possível contestá-las no app do banco.
Notícias ao minuto

Djalma Almeida Paixão é natural de Santo Antônio de Jesus.
Com muita dedicação e muitos estudos, Djalma formou-se em rádio e televisão pelo (ICB), Instituto do Conhecimento da Bahia, e possui o registro de número 8747/BA.
Dalma Almeida é formado em Análises Clínicas, Administração de empresa e Língua inglesa pela Uneb (Universidade do Estado da Bahia)
Djalma Almeida também é licenciado em Pedagogia pela Unifacs (Universidade Salvador), e possui vários cursos na área da educação como : Educacação Inclusiva, Neuroeducação, Coordenação Pedagógica, e Ensino Remoto através da Educação Inclusiva.
Djalma Almeida agora é pós graduando em psicopedagogia pela Unifacs, universidade o qual é licenciado em pedagogia.
Seu grande talento e inspiração pelo rádio começou em 1990 na rádio Recôncavo Fm, quando operava na frequência de 104,3, hoje operando em 98,5 Mhz, atuando como Disc jockey (Programação musical), e atuou também na rádio Clube Am como repórter quando operava em 680 Khz, hoje operando em Fm em 92,7 Mhz.
Atualmente, é repórter da rádio Prazeres Fm 87,9, na cidade de Jiquiriçá, com atuação dentro do programa “Conexão do Vale”. Djalma também foi por mais de três anos o redator e editor do site da rádio Prazeres Fm 87,9.
Também é o proprietário do site “Cidadedaspalmeirasnews.com.br”, onde ocupa o mesmo cargo.
Djalma Almeida também é servidor público estadual, onde desempenha a sua função com dedicação a mais de 37 anos de bons serviços prestados a população.
