ESET Latinoamérica advierte sobre campaña de phishing con PDFs maliciosos y troyano Ratty
La compañía de seguridad informática detectó una operación dirigida a usuarios de habla hispana, con foco en Perú, que utiliza servicios de almacenamiento en la nube para distribuir software malicioso. El troyano Ratty facilita acceso remoto y exfiltración de datos, según la investigación publicada.
ESET Latinoamérica identificó una campaña de phishing orientada a usuarios hispanoparlantes en la región, con énfasis en Perú. El ataque emplea documentos PDF maliciosos y técnicas de ingeniería social, aprovechando servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para la propagación del código malicioso.
El procedimiento inicia con el envío de un correo electrónico que adjunta un archivo denominado Factura.pdf. Al acceder al enlace, se descarga un archivo HTML, que posteriormente ejecuta un script VBS encargado de descargar un archivo comprimido. Este último contiene el ejecutable del troyano Ratty, que establece contacto con el servidor de comando y control.
Ratty, desarrollado en Java, no es habitual en Latinoamérica pero se utiliza en campañas maliciosas por su variedad de funcionalidades. Entre ellas se destacan la captura de pantalla, acceso a cámara y micrófono, registro de pulsaciones de teclado (keylogging), navegación por archivos y ejecución remota de comandos. El troyano también facilita la persistencia en sistemas Windows mediante copia y disfraz de archivo png, creación de una llave AutorunKey en el registro y ocultamiento de actividades mediante bloqueo de pantalla y manipulación del mouse.
Fabiana Ramírez Cuenca, investigadora de seguridad informática en ESET Latinoamérica, señaló: “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta”.
La transferencia de archivos y la exfiltración de datos entre el servidor y el equipo infectado son parte de las capacidades del software malicioso, que conecta con infraestructura alojada en EQUINIX-CONNECT-EMEAGB. De acuerdo con ESET, existen diversas variantes de Ratty con diferentes módulos y paquetes.
“Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, dijo Ramírez Cuenca.
Artículos relacionados
La IA acorta 50% la revisión de mamografías sin hallazgos en Argentina
La tecnología se aplica en 77 hospitales públicos y fue presentada el jueves 28 de mayo en un seminario virtual de Cadime, con foco en modernización de sistemas de imágenes y modelos de “pago por estudio”, en un contexto de déficit de radiólogos y búsqueda de mayor productividad en diagnóstico por imágenes
SAP y Anthropic prevén integrar Claude en SAP Business AI Platform
La colaboración, presentada en SAP Sapphire, apunta a sumar capacidades de IA agentiva para automatizar tareas en finanzas, recursos humanos, compras y cadena de suministro, con ejecución bajo controles de aprobaciones y cumplimiento ya integrados en las soluciones de la compañía
TXOne Networks impulsa SenninRecon para ejecutar remediación OT sin interrumpir operaciones industriales
En una entrevista con CXO Insight Middle East, la compañía sostuvo que la seguridad OT entra en una fase enfocada en ejecución segura, con un esquema por etapas que conecta análisis de riesgos y planes de remediación priorizados para reducir riesgo medible sin afectar la continuidad operativa