A través de archivos PDF circula un nuevo virus en Latinoamérica para robar información

El uso de archivos PDF ha sido aprovechado por grupos de ciberdelincuentes, para propagar distintos tipos de ataques dirigidos, especialmente en Latinoamérica, aprovechando la confianza que hay sobre este tipo de documentos que parecen inofensivos, pero pueden esconder una estafa.

Según investigaciones de ESET, durante el último tiempo se detectó una campaña específica que utiliza documentos PDF maliciosos para distribuir el troyano de acceso remoto Ratty, afectando a usuarios hispanohablantes principalmente en Perú.

Cómo es la trampa oculta detrás de un PDF

Los archivos PDF suelen inspirar confianza porque su aspecto resulta conocido y los programas necesarios para leerlos están presentes en casi todos los dispositivos. Esta aceptación facilita que un archivo malicioso pase inadvertido.

Los ciberdelincuentes se aprovechan de esta percepción y utilizan documentos que simulan ser facturas, estados de cuenta, currículums o notificaciones bancarias, entre otros. Apelan a la urgencia o la preocupación para inducir a las víctimas a abrir el archivo. Un ejemplo típico es el envío de un correo electrónico que contiene un PDF con el nombre “Factura.pdf”, supuestamente pendiente de pago.

Al abrir el archivo, el usuario no detecta nada extraño a simple vista, pero al hacer clic en los enlaces internos comienza la secuencia dañina. En la campaña identificada la táctica consistió en incorporar en el PDF enlaces que, al ser activados, descargan archivos adicionales a través de servicios gratuitos de almacenamiento en la nube, como Google Drive, Dropbox o Mediafire.

Estos servicios, conocidos por su popularidad y uso masivo, contribuyen a que las descargas no levanten sospechas entre las potenciales víctimas.

Así funciona la cadena de infección

El esquema de ataque se desarrolla en varias etapas cuidadosamente ideadas. Todo inicia con la llegada de un correo malicioso, muchas veces bien disfrazado, en el que los ciberdelincuentes se hacen pasar por empresas de confianza o servicios conocidos.

Este correo incluye el archivo adjunto de tipo PDF, que presenta opciones para “Abrir” o “Descargar”. Tras seleccionar una de ellas, el usuario es dirigido a una dirección de Dropbox desde donde se comienza a descargar de forma automática un archivo HTML.

En algunos casos, el ataque verifica el idioma configurado en el navegador y solo prosigue si detecta español o cualquier otro distinto al inglés, filtrando así a quiénes va dirigida especialmente la campaña.

El archivo HTML descargado contiene scripts camuflados mediante técnicas de ofuscación, que dificultan su detección. Al abrir este archivo, se activa un flujo de acciones: muestra un falso botón de verificación que, al ser pulsado, deriva a una nueva dirección para la descarga de un archivo de script VBS desde Mediafire. Este script también viene ofuscado y ejecuta instrucciones adicionales orientadas a descargar un archivo comprimido tipo ZIP alojado en otro enlace malicioso.

Dentro del ZIP descargado, el usuario encuentra un archivo ejecutable (CMD), cuyo propósito es lanzar el programa malicioso definitivo: un archivo JAR, identificado como Ratty, presentado bajo el disfraz de imagen PNG para evitar sospechas. Una vez que Ratty se ejecuta, se conecta automáticamente con un servidor de comando y control, lo que da acceso total y persistente al dispositivo infectado para los atacantes.

Lo que buscan los atacantes con estos ataques

El objetivo de los ciberdelincuentes es claro: obtener información personal, credenciales de acceso, claves bancarias, documentos privados y recursos que luego pueden servir para el robo de identidades, fraudes financieros o ser vendidos en foros ilícitos.

Además de las consecuencias directas para el usuario infectado, estos ataques abren la puerta al secuestro de cuentas, el espionaje y el acceso a datos de empresas en el caso de equipos laborales.

Este tipo de campañas aprovechan debilidades técnicas, pero sobre todo buscan explotar el desconocimiento del usuario común, que rara vez duda de la legitimidad de un PDF ni se detiene a analizar el origen del archivo recibidio por correo.

Cómo reconocer un PDF malicioso

Detectar un archivo PDF malicioso puede no ser sencillo, pero existen varias señales que ayudan a prevenir un ataque:

• Archivos comprimidos: los PDFs maliciosos suelen presentarse comprimidos en formatos ZIP o RAR para evadir los filtros de los sistemas de correo y los antivirus.
• Nombres genéricos o engañosos: usan títulos comunes como “Factura.pdf” o nombres que incluyen extensiones adicionales ocultas, por ejemplo, “documento.pdf.exe”.
• Remitentes desconocidos: si el correo proviene de un origen dudoso, desconocido o con un dominio extraño, probablemente se trate de una amenaza.
• Falta de lógica: si no se esperaba recibir un archivo de ese tipo ni del remitente, puede ser señal de alerta.
• Vínculos y acciones forzadas: el PDF invita a hacer clic en enlaces con urgencia —por ejemplo, para pagar una supuesta factura— o a completar pasos no habituales.

Algunas campañas identificadas recientemente, como la que utilizó el troyano bancario Grandoreiro, emplearon tácticas similares: un correo de phishing con apariencia de provenir de una agencia gubernamental que invitaba a descargar un PDF. El archivo, al ser abierto, desencadenaba una secuencia orientada a robar datos bancarios de las víctimas.