El equipo de investigación de ESET descubrió una reciente campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). La campaña utiliza documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, principalmente de usuarios en Perú. Los cibercriminales han utilizado diferentes servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y propagar diferentes códigos maliciosos descriptos en este blog.
Ratty es un troyano de acceso remoto que tiene diversas funciones como la captura de pantalla, acceso a la cámara y al micrófono, keylogging, navegación por archivos y ejecución remota de comandos en el sistema infectado. “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.
La campaña maliciosa comienza con un correo de phishing que incluye un archivo adjunto llamado Factura.pdf que induce a la víctima a hacer clic en un enlace que produce la descarga de un archivo HTML (FACTURA-243240011909044.html)
Una vez ejecutado, Ratty realiza múltiples acciones, aunque no son las únicas, desde ESET destacan las siguientes:
- Recolección de información
- Captura de imágenes y video desde la cámara web de la víctima.
- Grabación de audio a través del micrófono.
- Capturas de pantalla del dispositivo de la víctima.
- Keylogging: captura de pulsaciones de teclado (keylogging).
- Persistencia: Ratty logra persistencia en Windows copiándose dentro del sistema y disfrazándose como un archivo png. Luego crea una llave, llamada AutorunKey, en un registro que garantiza que el software malicioso se inicie automáticamente con cada inicio de sesión.
- Comando y control: Se conecta al servidor de comando y control alojado en EQUINIX-CONNECT-EMEAGB, un proveedor de servicios web. En el análisis de ESET, la muestra intentó establecer comunicación sobre el puerto TCP 8911. Asimismo, se identificaron módulos como PacketLogin, PacketKeepAlive y PacketDisconnect, empleados para gestionar la autenticación inicial y conexión con el servidor de control.
- Ocultamiento de actividades maliciosas: Contiene también paquetes utilizados para permitir un bloqueo de pantalla y así ocultar actividades maliciosas. También, otros paquetes que permiten controlar o congelar el mouse/pulsador y la pantalla para impedir interacción del usuario.
- Transferencia de archivos y exfiltración: Presencia de paquetes que permiten descargar y subir archivos entre el C2 y el dispositivo infectado. También HTTPUtil.java que gestionaría comunicaciones HTTP.
