Los analistas del equipo Global Research and Analysis Team (GReAT) de Kaspersky han identificado nuevas campañas del troyano bancario brasileño GoPix, que muestran una complejidad sin precedentes. Este malware, activo durante los últimos tres años, combina distintas técnicas avanzadas para robar información financiera, incluyendo ciberataques para interceptar comunicaciones y campañas de publicidad maliciosa dirigidas a clientes de entidades financieras en Brasil y a usuarios de criptomonedas.

La infección inicial se produce mediante campañas de publicidad maliciosa (malvertising). Los ciberdelincuentes utilizan con frecuencia Google Ads para distribuir señuelos que imitan servicios populares como WhatsApp, Google Chrome o el servicio postal brasileño Correios, atrayendo a las víctimas hacia páginas de destino maliciosas.

Una vez que el usuario accede a la página controlada por GoPix, el malware utiliza sistemas legítimos de evaluación de reputación de direcciones IP para determinar si el visitante es un objetivo interesante o un bot utilizado en entornos de análisis de malware. Si el sistema detecta que no se trata de un objetivo relevante, el malware no se entrega.

“GoPix ha alcanzado un nivel de sofisticación nunca visto antes en malware originado en Brasil. Hemos estado monitorizando esta amenaza desde 2023y sigue altamente activa. Las detecciones aumentan cada año: a marzo de 2026 ya se han identificado 90.000 intentos de infección. El malware utiliza métodos de infección sigilosos y técnicas avanzadas para evadir la detección de las soluciones de seguridad”, afirma Fabio Assolini, responsable de las unidades de América y Europa del equipo Kaspersky GReAT.

Actualmente GoPix es capaz de ejecutar ciberataques man-in-the-middle, monitorizar transacciones Pix y comprobantes de pago Boleto, así como manipular transacciones de criptomonedas. Esto permite al malware interceptar, monitorizar y modificar el tráfico de red de las víctimas.

Además, el troyano está diseñado para evadir los mecanismos de seguridad implementados por las entidades financieras, manteniendo la persistencia en el sistema comprometido e incorporando rutinas de limpieza avanzadas que dificultan los procesos de Digital Forensics and Incident Response (DFIR).

Según la investigación realizada, el grupo brasileño responsable de GoPix parece estar adoptando técnicas habitualmente asociadas a grupos APT para mantener la persistencia y ocultar su malware. Entre ellas destaca la carga de módulos directamente en memoria, lo que deja muy pocos rastros en disco y reduce la eficacia de técnicas de búsqueda de amenazas basadas en reglas YARA. Además, utilizan servidores de mando y control (C2) con ciclos de vida muy cortos.

El malware también puede cambiar de proceso para ejecutar diferentes funciones y, potencialmente, desactivar software de seguridad instalado en el sistema.