El equipo de investigación de ESET descubrió una reciente campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). La campaña utiliza documentos PDF maliciosos y técnicas de ingeniería social dirigidas a usuarios de habla hispana, principalmente de usuarios en Perú. Los cibercriminales han utilizado diferentes servicios de alojamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y propagar diferentes códigos maliciosos descriptos en este blog.

Ejemplo del archivo adjunto de tipo PDF

Ratty es un troyano de acceso remoto que tiene diversas funciones como la captura de pantalla, acceso a la cámara y al micrófono, keylogging, navegación por archivos y ejecución remota de comandos en el sistema infectado. “Este RAT escrito en Java aunque no es habitual en la región latinoamericana está siendo utilizado en campañas maliciosas debido a la gran cantidad de funcionalidades con las que cuenta. Entre sus capacidades más relevantes se destaca la de recolección de información mediante keylogging, capturas de pantalla y grabación de audio, entre otros, así como la exfiltración de datos, conexión C2 y persistencia. Estas no son sus únicas funcionalidades y existen diversas variantes con distintos paquetes y módulos”, comenta Fabiana Ramírez Cuenca, Investigadora de Seguridad Informática de ESET Latinoamérica.

La campaña maliciosa comienza con un correo de phishing que incluye un archivo adjunto llamado Factura.pdf que induce a la víctima a hacer clic en un enlace que produce la descarga de un archivo HTML (FACTURA-243240011909044.html), que a su vez descarga un script VBS (FA-45-04-25.vbs). Este script, al ser ejecutado, facilita la descarga de un archivo comprimido (InvoiceXpress.zip), dentro del cual se encuentra un archivo (InvoiceXpress.cmd) encargado de ejecutar InvoiceXpress.jar, identificado como el troyano de acceso remoto Ratty, que además establece conexión con un servidor de comando y control.

Diagrama de infección

Una vez ejecutado, Ratty realiza múltiples acciones, aunque no son las únicas, desde ESET destacan las siguientes:

Recolección de información
Captura de imágenes y video desde la cámara web de la víctima.
Grabación de audio a través del micrófono.
Capturas de pantalla del dispositivo de la víctima.
Keylogging: captura de pulsaciones de teclado (keylogging).

Persistencia: Ratty logra persistencia en Windows copiándose dentro del sistema y disfrazándose como un archivo png. Luego crea una llave, llamada AutorunKey, en un registro que garantiza que el software malicioso se inicie automáticamente con cada inicio de sesión.

Comando y control: se conecta al servidor de comando y control alojado en EQUINIX-CONNECT-EMEAGB, un proveedor de servicios web. En el análisis de ESET, la muestra intentó establecer comunicación sobre el puerto TCP 8911. Asimismo, se identificaron módulos como PacketLogin, PacketKeepAlive y PacketDisconnect, empleados para gestionar la autenticación inicial y conexión con el servidor de control.

Ocultamiento actividades maliciosas: contiene también paquetes utilizados para permitir un bloqueo de pantalla y así ocultar actividades maliciosas. También, otros paquetes que permiten controlar o congelar el mouse/pulsador y la pantalla para impedir interacción del usuario.
Transferencia de archivos y exfiltración: presencia de paquetes que permiten descargar y subir archivos entre el C2 y el dispositivo infectado. También HTTPUtil.java que gestionaría comunicaciones HTTP.