28 Septiembre 2025
Una investigación de ESET Latinoamérica reveló una campaña activa de phishing que está distribuyendo el troyano de acceso remoto Ratty en varios países de la región. Los cibercriminales recurren a documentos PDF falsos y a técnicas de ingeniería social especialmente dirigidas a usuarios hispanohablantes. Además, aprovechan plataformas de almacenamiento en la nube como Google Drive, Dropbox y Mediafire para difundir el malware.
Ratty, un Remote Access Trojan (RAT) desarrollado en Java, se caracteriza por su avanzado alcance de espionaje. Entre sus funciones se encuentran capturar pantallas, grabar audio y video, registrar pulsaciones de teclado y mantener comunicación con un servidor de comando y control. Esto le permite ejecutar múltiples acciones en el dispositivo infectado, comprometiendo seriamente la privacidad y seguridad de las víctimas.
Cómo se propaga la estafa a través de PDFs falsos
Esta amenaza demuestra cómo campañas aparentemente simples logran burlar la confianza de los usuarios con archivos disfrazados de facturas. La infección se inicia con un correo electrónico de phishing que contiene un archivo adjunto llamado Factura.pdf. Al abrirlo, la víctima es redirigida a la descarga de un archivo HTML malicioso, que desencadena una cadena de descargas sucesivas (VBS, ZIP y CMD). Finalmente, este proceso concluye con la ejecución de un archivo JAR que corresponde al troyano Ratty.
En cada etapa, los atacantes utilizan técnicas de ofuscación y múltiples redireccionamientos para evitar ser detectados por los antivirus. La campaña también cuenta con un sistema de filtrado: si el navegador está en inglés, se muestra un PDF inofensivo; si está configurado en español, se activa toda la secuencia de infección.
Funciones principales de Ratty
Una vez activado en el equipo, Ratty entrega a los atacantes control remoto total y entre sus capacidades se cuentan:
-Tomar capturas de pantalla y grabar video usando la cámara web.
-Grabar sonidos captados por el micrófono del equipo.
-Registrar las teclas pulsadas (keylogging) para recolectar contraseñas y otros datos sensibles.
-Subir y extraer archivos desde y hacia el servidor de control remoto.
-Mantenerse oculto y arrancar con el sistema mediante cambios en el registro de Windows para asegurar su persistencia.
Cómo protegerse del troyano Ratty y evitar infecciones por phishing
Si bien no suele ser común detectar variantes de Ratty en Latinoamérica, esta operación evidencia cómo los ciberdelincuentes aprovechan su flexibilidad para orquestar ataques focalizados. La mezcla de correos de phishing, técnicas de ingeniería social y un troyano con múltiples funciones convierte a Ratty en un riesgo considerable tanto para compañías como para usuarios individuales.
La forma más efectiva de protección frente a estas campañas continúa siendo la prevención. Resulta clave desconfiar de mensajes de origen dudoso, evitar abrir facturas o archivos inesperados y utilizar soluciones de seguridad actualizadas que permitan identificar y frenar estos intentos de infección.
Lo más popular
