lunes, 29 de septiembre de 2025

Nueva campaña en Latinoamérica: PDFs maliciosos distribuyen el troyano Ratty para robar información

 

1) Resumen ejecutivo (para directivos)

Se ha detectado una campaña dirigida a usuarios hispanohablantes —con foco en Perú y otros países de Latinoamérica— que usa archivos PDF distribuidos por correo para lanzar una cadena de infección multi-etapa cuyo resultado final es la instalación del troyano de acceso remoto Ratty. La campaña abusa de la confianza en documentos PDF y de servicios de almacenamiento en la nube (Google Drive, Dropbox, Mediafire) para servir cargas maliciosas. Si un empleado abre y sigue los enlaces, el atacante obtiene acceso persistente al equipo, credenciales y potencial acceso a la red corporativa.

Impacto potencial: robo de credenciales, fraude financiero, espionaje corporativo, compromiso de cuentas y posible exfiltración de datos. Afecta a usuarios particulares, PYMEs y también a organizaciones con equipos que usan correo electrónico como vector principal.

2) Cadena de ataque (TTPs resumidos)

  1. Spear-phishing / correo masivo con adjunto PDF (p. ej. Factura.pdf).

  2. PDF contiene enlaces internos que apuntan a archivos hospedados en servicios cloud legítimos.

  3. Al hacer clic se descarga automáticamente un HTML (ofuscado) desde Dropbox/Drive.

  4. HTML ejecuta script que muestra botón falso → descarga un VBS (ofuscado) desde Mediafire.

  5. VBS descarga y descomprime un ZIP que contiene un ejecutable (.cmd o .exe) o un JAR disfrazado de PNG.

  6. Se ejecuta Ratty → conexión a C2 → acceso remoto, robo de credenciales, keylogging, exfiltración.

Nota técnica: campaña filtra por idioma del navegador (activa solo para español), lo que indica una búsqueda focalizada en usuarios hispanohablantes.

3) Vulnerabilidades y malas prácticas explotadas

  • Confianza en PDFs y en servicios cloud: uso de Drive/Dropbox/Mediafire para evadir filtros.

  • Usuarios con privilegios excesivos o sin segmentación de red.

  • Falta de controles de bloqueo de ejecución para archivos descargados desde web (aplicaciones permitidas).

  • Filtros de correo insuficientes (no detectan HTML/VBS ofuscado ni enlaces a cloud).

  • Ausencia de EDR/XDR con detección de comportamiento (descargas de binarios desde navegador → ejecución).

  • Contraseñas reutilizadas y sin MFA que facilitan el movimiento lateral y el robo de cuentas.

4) Indicadores y señales (IOCs y «cómo detectarlo»)

No dispongo de hashes concretos del malware en el reporte, pero hay patrones reproducibles que os servirán para búsquedas inmediatas.

Patrones a detectar y bloquear:

  • Correos con adjuntos llamados Factura.pdf, Documento.pdf, Aviso.pdf, EstadoCuenta.pdf u otros nombres genéricos.

  • PDFs que contienen enlaces a dominios de almacenamiento cloud: drive.google.com, dropbox.com, mediafire.com (o redirecciones acortadas).

  • Descargas automáticas de archivos HTML desde URLs externas que terminan en .html y que contienen scripts ofuscados.

  • Descargas de archivos VBS (*.vbs), ZIP (*.zip) y archivos ejecutables encubiertos (.jar con icono PNG, .cmd).

  • Actividad de red hacia hosts/c2 no habituales tras la ejecución (picos de DNS, conexiones persistentes a dominios desconocidos).

  • Procesos que lancen java -jar con ficheros en directorios temporales, o ejecución de wscript/cscript que lancen VBScript.

  • Creación de nuevos usuarios locales, ejecución de utilidades de control remoto o herramientas de exfiltración.

Firmas de búsqueda rápida (logs):

  • Filtrar proxys/IDS por peticiones a *.mediafire.com/*/*.vbs o *.drive.google.com/uc?export=download*.

  • Buscar en SIEM por EventID de ejecución: PowerShell / wscript / cscript / java / cmd iniciados desde navegador o carpeta Downloads.

  • Revisar EDR por indicadores de comportamiento: procesos que abren sockets TCP/UDP inusuales y lectura de ficheros de credenciales.

5) Medidas inmediatas (acción en las primeras 24 horas)

Para Administradores TI / SOC:

  1. Bloquear en proxy y firewall las URLs y dominios observados en la campaña (bloqueo temporal de Mediafire/links maliciosos detectados).

  2. Aislar equipos sospechosos: desconectar del LAN y preservar imagen forense.

  3. Buscar IOCs en EDR/SIEM: ejecución de wscript, descargas desde drive/dropbox/mediafire, ejecución de jar/cmd desde Downloads.

  4. Forzar cambio de contraseñas y rotación de credenciales para cuentas de alto riesgo (especialmente si se sospecha robo de credenciales).

  5. Forzar MFA obligatorio en accesos corporativos (VPN, mailbox, SSO).

  6. Bloquear ejecución de scripts (.vbs, .js) desde directorios de usuario mediante AppLocker/WHfB/Policy.

  7. Actualizar firmas y reglas en antivirus y EDR con detección basada en comportamiento (secuencias web→descarga→ejecución).

  8. Notificar a usuarios: alerta inmediata para no abrir PDFs sospechosos y enviar procedimiento de qué hacer si hicieron clic (ver más abajo).

Para Responsables / Comunicación:

  • Emitir aviso interno claro y breve con pasos a seguir (no culpar al usuario; instrucciones prácticas).

  • Preparar FAQ para clientes/usuarios sobre qué hacer si han descargado/ejecutado algo.

6) Plan de respuesta y contención (playbook corto)

  1. Identificación: correlacionar correos, logs WebProxy, SIEM, mail gateway.

  2. Contención: aislar endpoints infectados; bloquear C2 en firewall; invalidar sesiones con tokens/sesión.

  3. Erradicación: eliminación de binarios, restauración desde backup, limpieza de persistence (tareas programadas, servicios).

  4. Recuperación: reinstalar/actualizar equipos, verificar integridad, restablecer acceso con MFA.

  5. Preservación de evidencia: recolectar imágenes, capturas de RAM, logs para posible denuncia/forense.

  6. Comunicación: informar a clientes/AFIP/local authorities si hay exposición de datos regulados.

  7. Lecciones aprendidas: actualizar políticas, bloquear vectores, formación al personal.

7) Controles técnicos y mitigaciones sostenibles

  • Mail gateway: habilitar sandboxing para PDF/HTML y bloquear anexos con enlaces a downloads externos.

  • Proxy/Firewall: bloquear descargas ejecutables desde servicios cloud no verificados y analizar redirecciones acortadas.

  • EDR/AV: reglas anti-ofuscación, control de ejecución de scripts y alertas por descargas desde navegador.

  • Aplicación de políticas de ejecución: AppLocker / Windows Defender Application Control para impedir ejecución fuera de rutas aprobadas.

  • Segmentación de red: separar estaciones de trabajo de usuarios del entorno crítico; aplicar least privilege.

  • Backups offline y pruebas de restaureo periódicas.

  • Gestor de contraseñas + MFA obligatorio en todos los accesos corporativos y servicios críticos.

  • Lista blanca de aplicaciones en equipos sensibles.

  • Educación continua: campañas específicas sobre PDFs y riesgo de descargar archivos desde links en correos.

8) Recomendaciones para usuarios (comunicado fácil)

  • No abrir PDFs inesperados ni pulsar enlaces dentro de PDFs recibidos por email.

  • Si el PDF pide «verificar» o «descargar» algo, contactar por otro canal con la entidad remitente.

  • No ejecutar archivos HTML/VBS/ZIP descargados; consulte a TI.

  • Revisar movimientos bancarios y notificar inmediatamente al banco si detecta actividad sospechosa.

  • Mantener dispositivos y navegador actualizados y usar gestor de contraseñas + 2FA.

9) Indicaciones legales y notificación

  • Si hay evidencia de exfiltración de datos personales, activar el protocolo de notificación de brechas conforme a la normativa local (ej. RGPD en UE, leyes nacionales en LatAm).

  • Preservar y documentar evidencias para la denuncia ante autoridades competentes y para cooperación con alojadores cloud (Drive/Dropbox/Mediafire) para retirar contenidos maliciosos.

10) ¿Qué puede hacer Ciberseguridad Digital por su organización?

Ofrecemos servicios inmediatos y continuos:

  • Respuesta a incidentes (IR): contención, análisis forense y erradicación.

  • Hunting proactivo: búsqueda de IOCs en entornos on-prem y cloud.

  • Implementación EDR/Hardening y políticas de bloqueo de ejecución.

  • Simulacros de phishing y formación específica sobre PDF y vectores cloud.

  • Auditorías de correo y arquitectura de seguridad y planes de continuidad.

Si necesita intervención urgente o una auditoría externa, contáctenos:

Ciberseguridad Digital — protección, auditoría externa y soluciones de seguridad para empresas.
Ámbito: España, Suramérica y el mundo entero.
🌐 Web: www.ciberseguridaddigital.com
📧 Email: info@ciberseguridaddigital.com
📱 WhatsApp: +57 322 212 8861

en

No hay comentarios:

Publicar un comentario