GoPix koristi napredne metode kao što su PAC fajlovi i napade tipa ‘čovek u sredini’, broj incidenata raste od 2023.
Stručnjaci iz Kaspersky GReAT tima identifikovali su 90.000 pokušaja infekcije bankarskim trojancem GoPix zaključno sa martom 2026. godine, ukazujući na kontinuirani rast ove pretnje. GoPix, aktivan poslednje tri godine, koristi sofisticirane metode kao što su implantati koji funkcionišu isključivo u memoriji, Proxy AutoConfig (PAC) fajlovi za napade tipa ‘čovek u sredini’ i zlonamerno oglašavanje putem Google Ads-a kako bi ciljao klijente brazilskih finansijskih institucija i korisnike kriptovaluta.
Početna infekcija ostvaruje se kroz malvertising, pri čemu akteri pretnje koriste Google Ads za distribuciju mamaca zloupotrebljavajući servise poput WhatsApp-a, Google Chrome-a i brazilske poštanske službe Correios, navodeći korisnike na zlonamerne landing stranice. Softver proverava IP adrese posetilaca kako bi utvrdio da li su potencijalne mete ili botovi, a samo validnim korisnicima isporučuje maliciozni kod.
GoPix je tokom 2023. i 2026. godine zabeležio porast broja detekcija. Fabio Assolini iz Kaspersky GReAT-a izjavio je: „GoPix je dostigao nivo sofisticiranosti kakav do sada nije viđen kod zlonamernog softvera. Ovu pretnju pratimo od 2023. godine; ona je i dalje veoma aktivna, a broj detekcija stalno raste svake godine: zaključno sa martom 2026. godine već je zabeleženo ukupno 90.000 pokušaja infekcije. Pretnja koristi prikrivene metode infekcije i izbegava detekciju od strane bezbednosnog softvera, primenjujući nove tehnike kako bi ostala operativna.“
GoPix omogućava napade tipa ‘čovek u sredini’, nadzire Pix transakcije i Boleto uplatnice, te manipuliše transakcijama kriptovaluta. Softver zaobilazi bezbednosne mehanizme finansijskih institucija, održava postojanost u sistemu i koristi rutine čišćenja koje otežavaju digitalnu forenziku i reagovanje na incidente. Brazilska grupa koja stoji iza GoPix-a primenjuje tehnike slične APT grupama, uključujući učitavanje modula direktno u memoriju i korišćenje C2 servera sa kratkim životnim vekom.
Preporuke stručnjaka za smanjenje rizika od infekcije uključuju oprez prilikom klikanja na oglase, korišćenje sveobuhvatnih rešenja za digitalnu zaštitu, redovno ažuriranje softvera i preuzimanje aplikacija isključivo iz zvaničnih izvora.
