Los analistas del equipo Global Research and Analysis Team (GReAT) de Kaspersky han identificado nuevas campañas del troyano bancario brasileño GoPix, que muestran una complejidad sin precedentes. Este malware, activo durante los últimos tres años, combina distintas técnicas avanzadas para robar información financiera, incluyendo ciberataques para interceptar comunicaciones y campañas de publicidad maliciosa dirigidas a clientes de entidades financieras en Brasil y a usuarios de criptomonedas.

La infección inicial se produce mediante campañas de publicidad maliciosa (malvertising). Los ciberdelincuentes utilizan con frecuencia Google Ads para distribuir señuelos que imitan servicios populares como WhatsApp, Google Chrome o el servicio postal brasileño Correios, atrayendo a las víctimas hacia páginas de destino maliciosas.

Una vez que el usuario accede a la página controlada por GoPix, el malware utiliza sistemas legítimos de evaluación de reputación de direcciones IP para determinar si el visitante es un objetivo interesante o un bot utilizado en entornos de análisis de malware. Si el sistema detecta que no se trata de un objetivo relevante, el malware no se entrega.

“GoPix ha alcanzado un nivel de sofisticación nunca visto antes en malware originado en Brasil. Hemos estado monitorizando esta amenaza desde 2023 y sigue altamente activa. Las detecciones aumentan cada año: a marzo de 2026 ya se han identificado 90.000 intentos de infección. El malware utiliza métodos de infección sigilosos y técnicas avanzadas para evadir la detección de las soluciones de seguridad”, afirma Fabio Assolini, responsable de las unidades de América y Europa del equipo Kaspersky GReAT.

Actualmente GoPix es capaz de ejecutar ciberataques man-in-the-middle, monitorizar transacciones Pix y comprobantes de pago Boleto, así como manipular transacciones de criptomonedas. Esto permite al malware interceptar, monitorizar y modificar el tráfico de red de las víctimas.

Además, el troyano está diseñado para evadir los mecanismos de seguridad implementados por las entidades financieras, manteniendo la persistencia en el sistema comprometido e incorporando rutinas de limpieza avanzadas que dificultan los procesos de Digital Forensics and Incident Response (DFIR).

Según la investigación realizada, el grupo brasileño responsable de GoPix parece estar adoptando técnicas habitualmente asociadas a grupos APT para mantener la persistencia y ocultar su malware. Entre ellas destaca la carga de módulos directamente en memoria, lo que deja muy pocos rastros en disco y reduce la eficacia de técnicas de búsqueda de amenazas basadas en reglas YARA. Además, utilizan servidores de mando y control (C2) con ciclos de vida muy cortos.

El malware también puede cambiar de proceso para ejecutar diferentes funciones y, potencialmente, desactivar software de seguridad instalado en el sistema.

Para reducir el riesgo de troyanos bancarios como GoPix, los analistas de Kaspersky GReAT recomiendan:
· Ser prudente al hacer clic en anuncios mientras se navega por internet, ya que pueden conducir a páginas maliciosas. Si se desea descargar una aplicación, es más seguro hacerlo desde la tienda oficial correspondiente.
· Utilizar una solución de protección digital completa que proteja las transacciones financieras y verifique la autenticidad de los sistemas de pago online y de las páginas web bancarias.
· Mantener actualizado todo el software del equipo.
· Prestar especial atención al instalar actualizaciones.
· Descargar software únicamente desde fuentes oficiales y evitar paquetes de instalación con complementos opcionales. Para más información, el informe completo del caso está disponible en Securelist.com.

Global Research & Analysis Team
Fundado en 2008, el Global Research & Analysis Team (GReAT) se encuentra en el núcleo de Kaspersky y se dedica a investigar APT, campañas de ciberespionaje, malware avanzado, ransomware y tendencias del cibercrimen a nivel global. Actualmente el equipo está formado por más de 35 analistas distribuidos en Europa, Rusia, Latinoamérica, Asia y Oriente Medio. Estos especialistas lideran la investigación antimalware de la compañía y aportan una experiencia única en el descubrimiento y análisis de ciberamenazas.