GoPix, el troyano que solo se queda con objetivos valiosos

El Global Research and Analysis Team de Kaspersky considera que las tácticas que ha empezado a adoptar GoPix cada vez parecen más propias de grupos de Amenazas Pesistentes Avanzadas por el nivel de sofisticación y “complejidad sin precedentes” que muestran. GoPix, activo desde hace tres años, es un troyano bancario brasileño que combina la interceptación de comunicaciones y campañas de publicidad maliciosa.

GoPix puede realizar ataques man-in-the-middle, manipular transacciones de criptomonedas y monitorizar transacciones Pix y comprobantes de pago Boleto. Especialmente dirigido a clientes de entidades financieras y de criptomonedas, parte de campañas de malvertising, a menudo anuncios de Google Ads con señuelos que suplantan a marcas como WhatsApp, Google Chrome o la brasileña Correios.

Cuando las víctimas potenciales acceden a la página web que controlan, “utilizan sistemas legítimos de evaluación de reputación de direcciones IP”. Según la compañía, utilizan sistemas legítimos de evaluaciones de reputación de direcciones IP para saber si el objetivo es de valor; en caso de que no lo sean, la carga de malware no se entrega. También puede evadir los mecanismos de seguridad y cargar módulos directamente en memoria.

Fabio Assolini, responsable de las unidades de América y Europa del equipo Kaspersky GReAT, explica que “GoPix ha alcanzado un nivel de sofisticación nunca visto antes en malware originado en Brasil. Hemos estado monitorizando esta amenaza desde 2023 y sigue altamente activa. Las detecciones aumentan cada año: a marzo de 2026 ya se han identificado 90.000 intentos de infección. El malware utiliza métodos de infección sigilosos y técnicas avanzadas para evadir la detección de las soluciones de seguridad”.