ESET, compañía líder en detección proactiva de amenazas, detectó una campaña de phishing que distribuye Ratty, un troyano de acceso remoto (RAT). La operación se dirige principalmente a usuarios hispanohablantes, con énfasis en Perú, y emplea servicios de almacenamiento en la nube como Google Drive, Dropbox y Mediafire para alojar y propagar los archivos maliciosos.
Ratty es un RAT escrito en Java con múltiples capacidades invasivas: captura de pantalla, acceso a cámara y micrófono, keylogging, navegación y manipulación de archivos y ejecución remota de comandos, además de funciones de exfiltración de datos, conexión C2 y persistencia. ESET señala que existen variantes con módulos y paquetes distintos que amplían su funcionalidad.
La cadena de infección comienza con un correo de phishing que adjunta Factura.pdf, el cual induce a la víctima a descargar un archivo HTML (FACTURA-243240011909044.html). Ese HTML descarga un script VBS (FA-45-04-25.vbs) que, al ejecutarse, obtiene un comprimido InvoiceXpress.zip; dentro está InvoiceXpress.cmd, que ejecuta InvoiceXpress.jar —identificado como el troyano Ratty— y establece comunicación con el servidor de control.
Tras la ejecución, Ratty realiza varias acciones destacadas: recolección de información, grabación de audio y vídeo desde la cámara, capturas de pantalla, keylogging, transferencia y exfiltración de archivos, y mecanismos de ocultamiento (bloqueo de pantalla y control del cursor). Además, logra persistencia en Windows copiándose y camuflándose como un archivo PNG y crea una clave de registro llamada AutorunKey para iniciarse automáticamente. El C2 identificado en el análisis de ESET está alojado en EQUINIX-CONNECT-EMEAGB y la muestra intentó comunicarse sobre el puerto TCP 8911, usando módulos como PacketLogin, PacketKeepAlive y PacketDisconnect.
En resumen, se trata de una campaña dirigida y sofisticada que combina ingeniería social con una cadena de ejecución en múltiples etapas para desplegar un RAT con amplias capacidades de espionaje y control. Evitar abrir adjuntos sospechosos, mantener software y antivirus actualizados y no ejecutar scripts descargados son medidas claves para reducir el riesgo ante este tipo de amenazas.
