Internet

ESET advierte por PDFs maliciosos que circulan en Latinoamérica

La campaña utiliza documentos PDF maliciosos y servicios en la nube para propagar Ratty, un troyano de acceso remoto.

Archivo - Cybereason descubre un troyano usado desde Irán para espiar empresas aeroespaciales y de telecomunicaciones CYBEREASON - Archivo (CYBEREASON/Europa Press)
Por Natalia Gálvez

El equipo de investigación de ESET Latinoamérica identificó una nueva y activa campaña de phishing que está circulando por la región, dirigida principalmente a usuarios de habla hispana en Perú. El ataque se vale de documentos PDF maliciosos y sofisticadas técnicas de ingeniería social para distribuir Ratty, un peligroso troyano de acceso remoto (RAT).

Lee también: A 11 años de su disculpa: ¿Por qué el creador del pop-up lo catalogó como el “pecado original” de Internet?

Los atacantes han utilizado servicios de alojamiento en la nube de amplio uso, como Google Drive, Dropbox y Mediafire, para alojar y propagar diferentes códigos maliciosos que dan vida a la infección.

Ratty: El troyano con acceso total a tu dispositivo

Ratty es un troyano de acceso remoto escrito en Java que se destaca por su amplio abanico de funcionalidades. Aunque no es habitual en Latinoamérica, su capacidad para la recolección de información lo convierte en una amenaza seria.

Grandoreiro es uno de los troyanos bancarios más agresivos; en el último año atacó a más de mil 700 bancos y 276 crioptocarteras, en 45 países.
México-en-la-mira-Es-top-10-mundial-en-ataques-con-troyanos-bancarios Grandoreiro es uno de los troyanos bancarios más agresivos; en el último año atacó a más de mil 700 bancos y 276 crioptocarteras, en 45 países. (Freepik)

Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica, destacó que sus capacidades más relevantes incluyen:

  • Keylogging: Captura de pulsaciones de teclado, permitiendo el robo de credenciales y contraseñas.
  • Vigilancia: Captura de imágenes y video desde la cámara web de la víctima, así como grabación de audio a través del micrófono.
  • Control y persistencia: El troyano logra persistencia en Windows al copiarse y disfrazarse como un archivo .png, creando luego una llave de registro (AutorunKey) que garantiza su inicio automático con cada sesión.
  • Exfiltración: Posee paquetes para la transferencia y subida de archivos entre el servidor de comando y control (C2) y el dispositivo infectado.
PDF Logo
PDF Logo

Así funciona la cadena de infección

La campaña maliciosa inicia con un correo electrónico de phishing que incluye un archivo adjunto llamado Factura.pdf. Al inducir a la víctima a hacer clic, se desencadena una secuencia de descarga que esconde el troyano:

  1. El clic en el PDF descarga un archivo HTML (FACTURA-243240011909044.html).
  2. Este, a su vez, descarga y ejecuta un script VBS (FA-45-04-25.vbs).
  3. El script descarga un archivo comprimido .zip (InvoiceXpress.zip), que contiene un archivo .cmd.
  4. Finalmente, el archivo .cmd ejecuta el archivo .jar, identificado como el troyano Ratty, que se conecta al servidor de comando y control alojado en el proveedor EQUINIX-CONNECT-EMEAGB.

Adicionalmente, Ratty incluye funcionalidades para bloquear la pantalla y congelar el mouse, lo que le permite ocultar sus actividades maliciosas e impedir la interacción del usuario mientras roba información.

Esta sofisticada campaña de phishing subraya la importancia de la educación en seguridad informática. Dada la capacidad de Ratty para obtener acceso total y persistente a los dispositivos, ¿crees que los servicios de alojamiento en la nube deberían implementar filtros más estrictos para los archivos .zip y .jar?

       

Tags

     
.

Lo Último