ESET Latinoamérica advierte sobre campaña de phishing con PDFs maliciosos y troyano Ratty
La compañía de seguridad informática detectó una operación dirigida a usuarios de habla hispana, con foco en Perú, que utiliza servicios de almacenamiento en la nube para distribuir software malicioso. El troyano Ratty facilita acceso remoto y exfiltración de datos, según la investigación publicada.
ESET Latinoamérica identificó una campaña de phishing orientada a usuarios hispanoparlantes en la región, con énfasis en Perú. El ataque emplea documentos PDF maliciosos y técnicas de ingeniería social, aprovechando servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para la propagación del código malicioso.
El procedimiento inicia con el envío de un correo electrónico que adjunta un archivo denominado Factura.pdf. Al acceder al enlace, se descarga un archivo HTML, que posteriormente ejecuta un script VBS encargado de descargar un archivo comprimido. Este último contiene el ejecutable del troyano Ratty, que establece contacto con el servidor de comando y control.
Ratty, desarrollado en Java, no es habitual en Latinoamérica pero se utiliza en campañas maliciosas por su variedad de funcionalidades. Entre ellas se destacan la captura de pantalla, acceso a cámara y micrófono, registro de pulsaciones de teclado (keylogging), navegación por archivos y ejecución remota de comandos. El troyano también facilita la persistencia en sistemas Windows mediante copia y disfraz de archivo png, creación de una llave AutorunKey en el registro y ocultamiento de actividades mediante bloqueo de pantalla y manipulación del mouse.
Fabiana Ramírez Cuenca, investigadora de seguridad informática en ESET Latinoamérica, señaló: “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta”.
La transferencia de archivos y la exfiltración de datos entre el servidor y el equipo infectado son parte de las capacidades del software malicioso, que conecta con infraestructura alojada en EQUINIX-CONNECT-EMEAGB. De acuerdo con ESET, existen diversas variantes de Ratty con diferentes módulos y paquetes.
“Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, dijo Ramírez Cuenca.
Artículos relacionados
Cuando la guerra ya no necesita armas: el Mundial también se juega en el terreno digital
Por Magalí Dos Santos, CEO de EDS Informática
Artprice definió 22 reglas para un mercado del arte regulado y transparente
La compañía presentó un manifiesto que vincula la expansión de la inteligencia artificial con la necesidad de trazabilidad, archivos exhaustivos y datos confiables, en un contexto de proliferación de contenidos sintéticos en Internet y de tensiones económicas globales que elevan el valor de la información para decisiones de inversión
Hermes lleva agentes de IA autoaprendibles a PCs NVIDIA RTX y DGX Spark
El sistema desarrollado por Nous Research se ejecuta de forma local y continua en PCs y workstations NVIDIA RTX, con soporte para DGX Spark, y se apoya en modelos Qwen 3.6 de Alibaba para acelerar tareas de agentes con menor latencia, un avance que apunta a mejorar flujos de trabajo de desarrollo y productividad