ComunidadDestacadasInnovación

Alerta de ESET sobre PDFs maliciosos que se están utilizando en Latinoamérica

Hace 1 hora
2 minutos de lectura
El equipo de investigación de ESET Latinoamérica identificó una campaña de phishing que distribuye un troyano de acceso remoto (RAT). Los atacantes utilizan documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana en la región (Fuente de esta imagen referencial: Vidhunnan Murugan en Unsplash)

El equipo de investigación de ESET, compañía líder en detección proactiva de amenazas, descubrió una reciente campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). La campaña utiliza documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, principalmente de usuarios en Perú. Los cibercriminales han utilizado diferentes servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y propagar diferentes códigos maliciosos descritos en este blog.

Se trata de una información de valor tanto para usuarios esporádicos u ocasionales así como para avanzados y frecuentes.

Ejemplo del archivo adjunto tipo PDF

Ratty es un troyano de acceso remoto que tiene diversas funciones como la captura de pantalla, acceso a la cámara y al micrófono, keylogging, navegación por archivos y ejecución remota de comandos en el sistema infectado. “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

La campaña maliciosa comienza con un correo de phishing que incluye un archivo adjunto llamado Factura.pdf que induce a la víctima a hacer clic en un enlace que produce la descarga de un archivo HTML (FACTURA-243240011909044.html), que a su vez descarga un script VBS (FA-45-04-25.vbs). Este script, al ser ejecutado, facilita la descarga de un archivo comprimido (InvoiceXpress.zip), dentro del cual se encuentra un archivo (InvoiceXpress.cmd) encargado de ejecutar InvoiceXpress.jar, identificado como el troyano de acceso remoto Ratty, que además establece conexión con un servidor de comando y control.

Diagrama de infección

Una vez ejecutado, Ratty realiza múltiples acciones; aunque no son las únicas, desde ESET destacan las siguientes

  • Recolección de información
    • Captura de imágenes y video desde la cámara web de la víctima.
    • Grabación de audio a través del micrófono.
    • Capturas de pantalla del dispositivo de la víctima.
    • Keylogging: captura de pulsaciones de teclado (keylogging).
  • Persistencia: Ratty logra persistencia en Windows copiándose dentro del sistema y disfrazándose como un archivo png. Luego crea una llave, llamada AutorunKey, en un registro que garantiza que el software malicioso se inicie automáticamente con cada inicio de sesión.
  • Comando y control: Se conecta al servidor de comando y control alojado en EQUINIX-CONNECT-EMEAGB, un proveedor de servicios web.  En el análisis de ESET, la muestra intentó establecer comunicación sobre el puerto TCP 8911. Asimismo, se identificaron módulos como PacketLogin, PacketKeepAlive y PacketDisconnect, empleados para gestionar la autenticación inicial y conexión con el servidor de control.
  • Ocultamiento de actividades maliciosas: Contiene también paquetes utilizados para permitir un bloqueo de pantalla y así ocultar actividades maliciosas. También, otros paquetes que permiten controlar o congelar el mouse/pulsador y la pantalla para impedir interacción del usuario.
  • Transferencia de archivos y exfiltración: Presencia de paquetes que permiten descargar y subir archivos entre el C2 y el dispositivo infectado. También HTTPUtil.java que gestionaría comunicaciones HTTP.

ESET invita a conocer más sobre seguridad informática visitando: https://www.welivesecurity.com/es/

Para obtener otros útiles datos preventivos está igualmente disponible en Venezuela: https://www.eset.com/ve/, y sus redes sociales @eset_ve. También Instagram (@esetla) y Facebook (ESET).

El Sumario

Con información e imágenes referenciales complementarias suministradas por ESET y Comstat Rowland

Visita nuestro canal de noticias en Google News y síguenos para obtener información precisa, interesante y estar al día con todo. También en X/Twitter e Instagram puedes conocer diariamente nuestros contenidos

Etiquetas
Hace 1 hora
2 minutos de lectura

Publicaciones relacionadas

El Sumario - Eduardo Camavinga será jugador del Real Madrid hasta 2027

Eduardo Camavinga será jugador del Real Madrid hasta 2027

08 Sep, 2021
Shohei Ohtani - MLB

Pelota del jonrón de Ohtani para completar el 50-50 será subastada

27 Sep, 2024
Apple

Apple anuncia nuevo diseño de «Liquid Glass» en sus plataformas

11 Jun, 2025
Vinotinto Femenina Sub-17 - FVF

Vinotinto Femenina perdió ante Brasil en el Sudamericano Sub-17

15 Mar, 2024
© 2015. Derechos reservados, elsumario.com es un producto y marca del Grupo de Comunicación Digital EL SUMARIO, C.A. / RIF: J-40582970-2
Fuente principal de información y contenidos digitales multimedia América: Agencia EFE / EFE Servicios
Botón volver arriba