Una nueva campaña de phishing detectada por ESET utiliza este método para infectar computadoras con un troyano de acceso remoto conocido como Ratty, capaz de espiar, robar información y tomar el control del equipo de la víctima.
Una reciente campaña de ciberataques está utilizando una técnica de ingeniería social para engañar a los usuarios de habla hispana, principalmente en la región de Latinoamérica, con un énfasis especial en Perú. Según un informe del equipo de investigación de ESET, una reconocida compañía en seguridad digital, los cibercriminales están distribuyendo un troyano de acceso remoto (RAT) llamado Ratty a través de documentos PDF maliciosos.
La campaña de phishing, que ha sido identificada por ESET, usa correos electrónicos que contienen un archivo adjunto con el nombre «Factura.pdf». Al hacer clic en el enlace dentro de este documento, la víctima inicia una cadena de descargas que termina instalando el software malicioso en su dispositivo.
Este troyano, escrito en Java, es una amenaza significativa debido a su amplio abanico de funciones. Fabiana Ramírez Cuenca, investigadora de Seguridad Informática de ESET Latinoamérica, destacó la versatilidad de este malware. “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta”. Entre sus capacidades más peligrosas se encuentran la recolección de información a través de la captura de pulsaciones de teclado (keylogging), grabaciones de audio, y capturas de pantalla. Ratty también puede acceder a la cámara de la víctima, transferir archivos, exfiltrar datos e incluso tomar el control del sistema de forma remota.
El proceso de infección comienza con un correo electrónico de phishing que contiene el falso PDF. Al abrirlo y seguir el enlace, se descarga un archivo HTML, que a su vez descarga un script VBS. Este script ejecuta un archivo comprimido ZIP que contiene un archivo de comando, el cual finalmente instala y ejecuta el troyano Ratty. Para evadir la detección y asegurarse de permanecer en el sistema, Ratty utiliza tácticas de persistencia, como copiarse en el sistema con un nombre de archivo inofensivo y crear una clave de registro llamada «AutorunKey» para iniciarse automáticamente con cada sesión.
Además de sus funciones de espionaje, este malware tiene la capacidad de ocultar sus actividades maliciosas. Puede bloquear la pantalla del usuario o congelar el mouse y el cursor para evitar la interacción mientras realiza acciones maliciosas en segundo plano. La comunicación con los atacantes se realiza a través de un servidor de comando y control (C&C) al que el troyano se conecta. La propagación de estos códigos maliciosos se facilita a través del alojamiento en servicios de almacenamiento en la nube populares como Google Drive, Dropbox y Mediafire, lo que aumenta su alcance y credibilidad.
Ante esta amenaza, es crucial que los usuarios estén atentos a los correos electrónicos sospechosos, especialmente aquellos que contienen archivos adjuntos de facturas o documentos similares de remitentes desconocidos. La mejor defensa sigue siendo la precaución y el uso de soluciones de seguridad digital que puedan detectar y neutralizar este tipo de ataques antes de que causen daños mayores.
*En la creación de este texto se usaron herramientas de inteligencia artificial.
