ESET alerta sobre archivos PDF maliciosos que circulan en Latinoamérica
Fotografía Créditos: ESET

ESET alerta sobre archivos PDF maliciosos que circulan en Latinoamérica

Jonathan Munizaga Lectura de 2 minutos

ESET alertó sobre una nueva campaña de phishing que circula en Latinoamérica, enfocada en usuarios de habla hispana y principalmente en Perú, donde los atacantes distribuyen Ratty, un troyano de acceso remoto (RAT). Los delincuentes utilizan documentos PDF maliciosos y servicios de almacenamiento en la nube como Google Drive, Dropbox y Mediafire para propagar el malware.

Ratty, escrito en Java, ofrece amplias capacidades como captura de pantalla, acceso a cámara y micrófono, keylogging, ejecución remota de comandos y exfiltración de datos.

Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica, comentó:

“Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”.

La campaña comienza con un correo de phishing que incluye un archivo adjunto llamado Factura.pdf, que induce a la víctima a abrir un enlace que descarga un archivo HTML. Este archivo activa un script VBS que posteriormente descarga un comprimido con el archivo ejecutable del RAT. Una vez instalado, Ratty se asegura de permanecer en el sistema copiándose como un archivo disfrazado y creando una llave en el registro de Windows para ejecutarse automáticamente al inicio de sesión.

ESET alerta sobre el primer ransomware potenciado por IA
ESET Research, descubrió un nuevo malware que muestra cómo el uso malicioso de modelos de inteligencia artificial podría potenciar el ransomware y otras amenazas.
TabuladoJonathan Munizaga

El malware establece conexión con un servidor de comando y control alojado en EQUINIX-CONNECT-EMEAGB, utilizando el puerto TCP 8911. Entre sus módulos identificados están funciones para autenticación, mantener viva la conexión y desconexión. También puede bloquear la pantalla y congelar el mouse para ocultar actividades maliciosas, además de permitir la transferencia de archivos entre el dispositivo y el servidor de control.

Ciberseguridad ESET Latinoamérica ESET Fabiana Ramírez Troyanos
Jonathan Munizaga

Jonathan Munizaga

Santiago de Chile
Editor y Reviewer de tecnología con 14 años de experiencia. Fanático de la telefonía móvil y tecnología en general. Comunicados a [email protected]. Otras consultas: [email protected].

You might also like

Publicaciones destacadas

Etiquetas

10 Mhz 100 Años 100+ Labs Chile 14a Generación 200 Series

Últimas publicaciones

Boletín

Recibe las últimas publicaciones directamente en tu bandeja de entrada.
¡Genial! Revise su bandeja de entrada y haga clic en el enlace para confirmar su suscripción.
¡Error! ¡Por favor, introduzca una dirección de correo electrónico válida!

Síguenos