Argentina
Chile
Colombia
LATAM
Reseller MXSCILabs identifica un nuevo troyano bancario nombrado Golden Piranha.
Una de sus características es el uso de extensiones maliciosas de Google Chrome para robar información ingresada por el usuario en formularios de sitios web bancarios.
La información robada es enviada a través de la apertura de sockets.
El objetivo principal de Golden Piranha es robar información de instituciones financieras, particularmente en Brasil, por medio de la técnica de Man-in-the-Browser.
SCILabs no logró recuperar el método de acceso inicial de este troyano bancario.
No obstante, los elementos de prueba de la investigación revelaron que es altamente probable que sea distribuido a través de correos electrónicos de phishing.
E-mails que utilizan, aparentemente, pretextos relacionados con el cuerpo de bomberos de la nación.
Derivado de la investigación y el análisis de malware, SCILabs determinó que las campañas de Golden Piranha observadas hasta el momento encuentran dirigidas a Brasil.
Asimismo, hasta el momento, algunos de los artefactos identificados durante la investigación y utilizados en la cadena de infección presentan nula detección por algunas de las soluciones de seguridad contenidas en la plataforma VirusTotal.
Esto incrementa el riesgo de compromiso para empleados de distintas organizaciones.
Por lo que es fundamental que las empresas estén alertas ante esta amenaza.
¿Cómo podría Golden Piranha afectar a una organización?
Así, SCILabs identifica troyano bancario capaz de robar información bancaria perteneciente a todo tipo de usuarios, incluyendo empleados de organizaciones.
Si un ataque tiene éxito dentro de una organización, los ciberdelincuentes pueden filtrar o vender la información robada en foros clandestinos de la Dark Web o en el mercado negro.
Como consecuencia existe un riesgo en la confidencialidad, integridad y disponibilidad de la información, pudiendo ocasionar pérdidas económicas y de reputación.
Contexto de la amenaza
SCILabs identificó la URL hxxps[:]//almeida.clientepj[.]com, correspondiente a un sitio que alojaba diversos archivos legítimos y maliciosos.
Entre estos, fueron localizados los diferentes droppers utilizados durante la cadena de infección de Golden Piranha.
SE realizó a través de procesos de inteligencia en fuentes abiertas y el continuo monitoreo y cacería de amenazas en la región de Latinoamérica, entre la primera y segunda semana de abril de 2025.
