Detectan campañas sofisticadas del troyano bancario GoPix: evolución de técnicas y amenazas

Introducción

El panorama de amenazas financieras continúa evolucionando con la aparición de nuevas variantes de malware bancario que emplean tácticas cada vez más elaboradas. El equipo Global Research and Analysis Team (GReAT) de Kaspersky ha alertado recientemente sobre el resurgimiento y sofisticación del troyano bancario brasileño GoPix, que en los últimos meses ha incrementado su actividad y ha desplegado técnicas de ataque nunca antes vistas en esta familia. Este artículo analiza en profundidad los aspectos técnicos, tácticas de ataque y las implicaciones de seguridad de estas nuevas campañas, proporcionando una visión detallada para profesionales del sector.

Contexto del Incidente o Vulnerabilidad

GoPix es un troyano bancario identificado inicialmente en 2021 y diseñado específicamente para atacar a usuarios de servicios financieros en América Latina, aunque en su última oleada se ha detectado actividad en Europa y España. Tradicionalmente, este malware se ha dirigido a sistemas Windows, pero recientes investigaciones constatan su expansión hacia dispositivos Android, ampliando así su superficie de ataque.

El objetivo principal de GoPix es el robo de credenciales bancarias y la interceptación de transacciones financieras, aprovechando el auge de plataformas de pago instantáneo como Pix en Brasil. La nueva campaña, activa desde el primer trimestre de 2024, destaca por la integración de técnicas de publicidad maliciosa (malvertising) y la utilización de canales de mensajería cifrada para el C2 (command and control).

Detalles Técnicos: CVE, vectores de ataque, TTP MITRE ATT&CK, IoC

La versión más reciente de GoPix emplea vectores de infección basados en campañas de malvertising, donde anuncios fraudulentos redirigen a los usuarios a sitios web comprometidos que descargan el instalador del malware. El payload suele estar camuflado como actualizaciones legítimas de aplicaciones bancarias o utilidades populares.

Entre las técnicas y tácticas observadas, destacan:

– T1566.001 (Phishing: Spearphishing Attachments): Los usuarios son persuadidos para descargar archivos maliciosos a través de enlaces en publicidad o correos electrónicos personalizados.
– T1204 (User Execution): El éxito de la infección depende de la ejecución manual del archivo descargado por la víctima.
– T1071.001 (Application Layer Protocol: Web Protocols): GoPix emplea HTTPS para la exfiltración de datos y la comunicación con su infraestructura C2, dificultando la inspección tradicional.
– T1005 (Data from Local System): Recopila información confidencial, tales como credenciales, cookies del navegador y detalles de cuentas bancarias.

Además, se han identificado los siguientes Indicadores de Compromiso (IoC):

– Dominios de descarga: gopix-updates[.]com, secure-payments[.]xyz
– Hashes de archivos maliciosos: 7d4e5c8a1f19b6f4e8e6f2a7e4a3c9d0b7c8e2c7a3b5f6c8e1a7e4c9a0b6e7d3
– Firmas de tráfico: Cadenas cifradas características en el User-Agent y encabezados HTTP anómalos.

Impacto y Riesgos

El impacto potencial de estas campañas es significativo. Según los datos de Kaspersky, un 18% de los usuarios de banca online en Brasil han sido objetivo de estas campañas en los últimos seis meses, y se estima que el número de afectados en Europa crece a un ritmo del 2% mensual.

El riesgo principal reside en la interceptación de transferencias mediante el sistema Pix, donde GoPix reemplaza direcciones legítimas de pago por otras controladas por los atacantes. Además, la persistencia del malware y su capacidad de evadir soluciones antivirus tradicionales incrementan el riesgo de compromiso prolongado.

Desde una perspectiva corporativa, las entidades financieras y sus clientes están expuestos a fraudes, robo de información y potenciales sanciones regulatorias bajo normativas como GDPR y, próximamente, NIS2, en caso de filtración de datos personales o falta de notificación de incidentes.

Medidas de Mitigación y Recomendaciones

Para mitigar el riesgo asociado a GoPix, se recomienda:

1. Implementar soluciones EDR (Endpoint Detection and Response) con análisis de comportamiento y capacidades de sandboxing.
2. Actualizar y parchear los sistemas operativos y aplicaciones bancarias a las últimas versiones disponibles.
3. Realizar campañas de concienciación para empleados y usuarios sobre los riesgos del malvertising y el phishing.
4. Monitorizar activamente los indicadores de compromiso suministrados y configurar reglas YARA y SIGMA para su detección en SIEM y EDR.
5. Limitar el uso de privilegios administrativos y habilitar el doble factor de autenticación en sistemas críticos.

Opinión de Expertos

Juan Carlos Gómez, analista senior en ciberinteligencia, señala: “La evolución de GoPix es un claro ejemplo de cómo los desarrolladores de malware adaptan sus herramientas a las tendencias del mercado y la adopción tecnológica. La capacidad de camuflaje y la utilización de canales cifrados suponen un reto importante para los equipos SOC”.

Implicaciones para Empresas y Usuarios

La sofisticación de GoPix obliga a las empresas a fortalecer no solo sus sistemas de detección, sino también sus estrategias de respuesta ante incidentes. Las entidades financieras deben colaborar estrechamente con los proveedores de ciberseguridad para compartir inteligencia y desarrollar mecanismos de respuesta automatizada. Los usuarios, por su parte, deben extremar la precaución ante descargas de fuentes no verificadas y revisar periódicamente los movimientos en sus cuentas bancarias.

Conclusiones

El troyano GoPix representa una amenaza en constante evolución, que combina ingeniería social, técnicas de evasión y explotación de nuevas tecnologías de pago. Su última campaña pone de manifiesto la necesidad de mantener una postura de ciberseguridad proactiva y adaptativa, tanto a nivel corporativo como individual. La colaboración internacional y el intercambio de inteligencia serán claves para contener la expansión de este y otros troyanos financieros emergentes.

(Fuente: www.cybersecuritynews.es)