En las semanas recientes se ha conocido un nuevo mecanismo de ataque de los ciberdelincuentes en Latinoamérica, se trata del uso de archivos PDF para propagar virus e infectar a los dispositivos.
Los atacantes en el entorno digital perfeccionan cada vez más sus técnicas para robar información de los usuarios y secuestrar cuentas digitales. Así como también obtener credenciales de acceso, claves bancarias, cometer fraudes financieros; etc.
En este caso, los ciberdelincuentes están aprovechando este tipo de documentos, que a simple vista parecen ser inofensivos y generan confianza, para distribuir el troyano de acceso remoto y realizar una estafa.
¿Cómo los ciberdelincuentes están distribuyendo un virus a través de archivos PDF en Latinoamérica?
Generalmente, los archivos PDF se conocen por ser documentos seguros y confiables. Además, resultan útiles porque casi todos los dispositivos cuentan con los programas necesarios para leerlos.
Por consiguiente, estos factores ayudan a que estos documentos gocen de credibilidad, lo que significa facilita que un archivo malicioso pase inadvertido. Bajo esta premisa, los ciberdelincuentes crearon el nuevo virus.
Se trata de Ratty, un troyano de acceso remoto que llega a los dispositivos a través de PDF infectados. Este virus está afectando principalmente a usuarios de Latinoamérica e hispanohablantes.
Según investigaciones de ESET, los atacantes tienen como táctica incorporar enlaces maliciosos en el contenido de los PDF. De modo que cuando las personas accedan a ese link, el troyano entre en acción en el dispositivo.
Una de las formas en las que se presenta este nuevo virus es a través de documentos como facturas, currículums, estados de cuenta; entre otros. La idea es hacerle creer al usuario que se trata de un archivo importante para que abra el documento.
Una vez que la persona abre el archivo, todo parece estar en orden, ya que no hay nada extraño en el aspecto. Sin embargo, en el momento en el que hace clic en los enlaces internos, es cuando comienza a aparecer el daño.
¿Cómo funciona?
En primer lugar, los ciberdelincuentes envían un correo electrónico a la persona en el que se hacen pasar por alguna empresa de confianza. Así pues, en ese correo se adjunta el archivo PDF malicioso.
Seguidamente, el usuario encontrará en el documento la opción de «Abrir» o «Descargar» el documento. Tras pulsar cualquiera de las opciones, el sistema dirige a la víctima a una dirección de Dropbox que inicia automáticamente la descarga de un archivo de tipo HTML.
Es importante destacar que el ataque verifica el idioma que tiene configurado el navegador del usuario. En este caso, solo continúa si el idioma es el español u otro distinto al inglés, lo que significa que el ataque va dirigido a usuarios en Latinoamérica.
Cadena de infección
Continuando con la cadena de infección, el archivo HTML que se descarga, oculta en su interior códigos maliciosos (scripts) que están camuflados (ofuscados) para que el software de seguridad no los detecte.
Así pues, cuando el usuario abre este archivo, se inicia una cadena de acciones que terminan en la descarga de un archivo ZIP que contiene otro archivo ejecutable. Su función es lanzar el programa final del ataque, un archivo JAR llamado Ratty, que se presenta disfrazado como una imagen PNG.
De acuerdo con lo reseñado por Infobae, una vez que Ratty se ejecuta, se conecta secretamente a un servidor controlado por los atacantes. Esto les otorga acceso completo y permanente al dispositivo infectado.
En resumen, el nuevo virus llamado Ratty se distribuye a través de archivos PDF en usuarios que están en Latinoamérica. Para evitar esto, la persona debe asegurarse de que el documento que recibió proviene de una fuente confiable.
Información de Infobae / redacción TecnoFlash
No dejes de leer: Microsoft lanza herramienta Modo Agente en Excel y Word (+detalles)
Usa la tecnología con inteligencia, únete a nuestras redes sociales hoy