- La compañía de ciberseguridad advierte que el malware utiliza archivos PDF y servicios en la nube para propagarse.
Ciudad de México, (Agencia NVM/Redacción).- El equipo de investigación de ESET identificó una reciente campaña de phishing dirigida a usuarios de habla hispana, principalmente en Perú, que distribuye el troyano de acceso remoto Ratty (RAT). La operación maliciosa emplea documentos PDF fraudulentos y técnicas de ingeniería social, apoyándose en servicios de almacenamiento en la nube como Google Drive, Dropbox y Mediafire para propagar el código malicioso.
Ratty es un troyano con múltiples funciones que incluyen captura de pantalla, grabación de audio y video desde los dispositivos de la víctima, keylogging y control remoto del sistema infectado. “Este RAT escrito en Java, aunque no es habitual en Latinoamérica, está siendo utilizado debido a su gran cantidad de funcionalidades. Destacan la recolección de información mediante keylogging, capturas de pantalla y grabación de audio, así como la exfiltración de datos y persistencia”, señaló Fabiana Ramírez Cuenca, investigadora de seguridad informática de ESET Latinoamérica.
La campaña comienza con un correo electrónico de phishing que contiene un archivo adjunto denominado Factura.pdf. Al abrirlo, induce a la víctima a descargar un archivo HTML que, a su vez, ejecuta un script VBS encargado de instalar InvoiceXpress.jar, identificado como el troyano Ratty. Una vez ejecutado, el malware establece conexión con un servidor de comando y control (C2), identificado en EQUINIX-CONNECT-EMEAGB a través del puerto TCP 8911.
Entre sus principales capacidades destacan:
- Recolección de información: captura de imágenes y video desde la cámara web, grabación de audio, capturas de pantalla y registro de pulsaciones de teclado.
- Persistencia: se oculta en el sistema como archivo .png y crea una llave en el registro para iniciarse automáticamente.
- Comando y control: utiliza módulos especializados para autenticación y comunicación con el servidor malicioso.
- Ocultamiento de actividades: incluye paquetes para bloquear la pantalla o congelar el cursor.
- Exfiltración de datos: permite transferencia de archivos entre el dispositivo infectado y el servidor de control.
ESET advirtió que esta campaña confirma la tendencia de los atacantes a perfeccionar técnicas de distribución y aprovechar servicios legítimos en la nube para propagar amenazas, incrementando el riesgo para los usuarios.
Etiquetas: CiberseguridadFraudes Cibernéticos
Contáctanos
Legal
Política de Privacidad©Agencia NVM Comunicación y Análisis SAS. de C.V., Reserva de Derechos al uso exclusivo Agencia NVM Digital 04-2022-070615061100-203 otorgado por el Instituto Nacional del Derecho de Autor con fundamento en lo dispuesto en los artículos 173,174,175 y 189 de la Ley Federal del Derecho de Autor 70 y 77 de su reglamento.