ESET Latinoamérica identificó una campaña de phishing orientada a usuarios hispanoparlantes en la región, con énfasis en Perú. El ataque emplea documentos PDF maliciosos y técnicas de ingeniería social, aprovechando servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para la propagación del código malicioso.
El procedimiento inicia con el envío de un correo electrónico que adjunta un archivo denominado Factura.pdf. Al acceder al enlace, se descarga un archivo HTML, que posteriormente ejecuta un script VBS encargado de descargar un archivo comprimido. Este último contiene el ejecutable del troyano Ratty, que establece contacto con el servidor de comando y control.
Ratty, desarrollado en Java, no es habitual en Latinoamérica pero se utiliza en campañas maliciosas por su variedad de funcionalidades. Entre ellas se destacan la captura de pantalla, acceso a cámara y micrófono, registro de pulsaciones de teclado (keylogging), navegación por archivos y ejecución remota de comandos. El troyano también facilita la persistencia en sistemas Windows mediante copia y disfraz de archivo png, creación de una llave AutorunKey en el registro y ocultamiento de actividades mediante bloqueo de pantalla y manipulación del mouse.
Fabiana Ramírez Cuenca, investigadora de seguridad informática en ESET Latinoamérica, señaló: “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta”.
La transferencia de archivos y la exfiltración de datos entre el servidor y el equipo infectado son parte de las capacidades del software malicioso, que conecta con infraestructura alojada en EQUINIX-CONNECT-EMEAGB. De acuerdo con ESET, existen diversas variantes de Ratty con diferentes módulos y paquetes.
“Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, dijo Ramírez Cuenca.
