Alertan sobre GoPix, el troyano brasileño que roba información bancaria a través de campañas de publicidad fraudulentas
La compañía de ciberseguridad Kaspersky ha alertado sobre el troyano de origen brasileño GoPix, que roba información financiera a través de ciberataques y campañas de publicidad fraudulentas dirigidas a entidades bancarias y usuarios de criptomonedas
GoPix está activo desde 2023 y ha evolucionado con técnicas más complejas y avanzadas. Se han llegado a identificar hasta 90.000 intentos de infección hasta el pasado mes de marzo, como ha indicado Kaspersky en una nota de prensa.
Los ataques comienzan a través de campañas de 'malvertising' (publicidad maliciosa) en plataformas como Google Ads, en las que los ciberdelincuentes distribuyen señuelos que imitan servicios como Whatsapp, Google Chrome o el servicio postal brasileño Correios.
Una vez que los usuarios acceden a estas páginas fraudulentas, GoPix emplea sistemas legítimos de evaluación de reputación de direcciones IP para determinar si el visitante es un objetivo o se trata de un 'bot' para analizar 'malware'. Si el sistema detecta que no se trata de un objetivo relevante, el 'malware' no se entrega.
Concretamente, GoPix es capaz de llevar a cabo ciberataques del tipo 'man-in-the-middle' --intercepta comunicaciones--, monitorizar transacciones Pix y comprobantes de pago Boleto, así como manipular transacciones de criptomonedas. De esta forma, el troyano puede interceptar, monitorizar y modificar el tráfico de red de las víctimas.
"GoPix ha alcanzado un nivel de sofisticación nunca visto antes en malware originado en Brasil", ha destacado el responsable de las unidades de América y Europa del equipo Kaspersky GReAT, Fabio Assolini.
Además, el 'malware' está diseñado para evadir los mecanismos de seguridad implementados por las entidades bancarias, incorporando rutinas de limpieza avanzadas que dificultan los procesos de análisis forense digital y respuesta a incidentes (DFIR).
Precisamente, la investigación ha señalado que el grupo brasileño responsable de GoPix está adoptando técnicas asociadas a grupos de amenazas persistentes avanzadas (APT) para mantener la persistencia y ocultar su 'malware', como la carga de módulos directamente en memoria, reduciendo el rastro en el disco así como la eficacia de búsqueda de amenazas basadas en reglas YARA.
"El malware utiliza métodos de infección sigilosos y técnicas avanzadas para evadir la detección de las soluciones de seguridad", ha subrayado Assolini.
Frente a esta amenaza, los analistas de Kaspersky GReAT han pedido prudencia al hacer clic en anuncios, y han aconsejado descargar aplicaciones y 'software' desde tiendas y canales oficiales, utilizar una solución de protección digital completa que proteja las transacciones y verifique la autenticidad de los sistemas de pago 'online', y actualizar el 'software' del equipo.
