Investigaciones realizadas por ESET han identificado una campaña digital que emplea documentos PDF manipulados para difundir un troyano de acceso remoto conocido como Ratty. Este fenómeno ha impactado principalmente a usuarios hispanohablantes, con un enfoque particular en Perú.
¿Qué estrategia utilizan los ciberdelincuentes?
Los archivos PDF suelen ser vistos como documentos seguros, lo que facilita que sean utilizados para engañar a los usuarios. Los atacantes crean documentos que imitan facturas, estados financieros, currículums o alertas bancarias, entre otros. Estos documentos incluyen enlaces internos que, al ser seleccionados, inician procesos de descarga de archivos desde plataformas de almacenamiento en la nube como Google Drive, Dropbox o Mediafire.
«Los archivos PDF aparentan ser facturas o notificaciones para engañar a las víctimas.»
¿Cómo se desarrolla el proceso de infección?
El esquema comienza con un correo electrónico falso que simula provenir de entidades confiables. El mensaje contiene un archivo adjunto en formato PDF que ofrece opciones de «Abrir» o «Descargar». Al elegir alguna de estas opciones, el usuario es redirigido a una dirección de Dropbox para descargar un archivo HTML.
Este archivo contiene códigos ocultos que dificultan su identificación. Al abrirlo, aparece un botón falso de verificación que, al presionarlo, lleva a otra dirección donde se descarga un script VBS desde Mediafire. Este script, también enmascarado, ejecuta instrucciones que derivan en la descarga de un archivo ZIP desde un enlace malicioso.
«La cadena de infección culmina con la instalación del troyano Ratty en el dispositivo.»
¿Qué objetivo persiguen los atacantes?
El propósito de estos ataques es obtener información sensible como datos personales, contraseñas, claves bancarias y documentos privados. Estos datos pueden ser utilizados para robar identidades, cometer fraudes financieros o ser comercializados en foros ilegales.
«Los atacantes buscan robar credenciales, datos bancarios y documentos privados.»
¿Cómo identificar un archivo PDF malicioso?
Algunas señales que pueden ayudar a detectar estos archivos incluyen:
- Presentación en formatos comprimidos como ZIP o RAR
- Uso de nombres generales o engañosos como «Factura.pdf» o «documento.pdf.exe»
- Procedencia de remitentes desconocidos o con dominios sospechosos
- Contenido que carece de lógica o no corresponde a documentos esperados
- Inclusiones de enlaces que requieren acción inmediata o pasos inusuales
Estas tácticas no son exclusivas de este caso, ya que se han observado estrategias similares en otras campañas, como la que utilizó el troyano bancario Grandoreiro mediante correos de phishing que parecían provenir de instituciones gubernamentales.
