El equipo de investigación de ESET descubrió una reciente campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). La campaña utiliza documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, principalmente de usuarios en Perú.
Los cibercriminales han utilizado diferentes servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y propagar diferentes códigos maliciosos descriptos en este blog.
Ratty es un troyano de acceso remoto que tiene diversas funciones como la captura de pantalla, acceso a la cámara y al micrófono, keylogging, navegación por archivos y ejecución remota de comandos en el sistema infectado.
“Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
La campaña maliciosa comienza con un correo de phishing que incluye un archivo adjunto llamado Factura.pdf que induce a la víctima a hacer clic en un enlace que produce la descarga de un archivo HTML, que a su vez descarga un script VBS.
Fuente: ESET Latinoamérica
