Raty es el acceso remoto: los troyanos con diversas funciones, como captura de pantalla, acceso a la cámara y micrófono. Keylogging, Navegación de archivos y ejecución de comandos remotos en el sistema infectado. «Sin embargo, esta rata escrita en Java se usa en la región latinoamericana en campañas maliciosas debido a la gran cantidad de funciones que tiene. Las habilidades más relevantes son la recopilación de información de paquetes y módulos altos», «,», «,», «,», «,», «,», «,», «,», «,», «,», «,», «,», «,», «,». comentario Fabiana Ramírez Cuenca, investigadora de seguridad informática en Eset Latin America.

La campaña maliciosa comienza con un correo electrónico de phishing que contiene un archivo adjunto llamado Invoice.pdf, que hace que la víctima haga clic en un enlace que crea la descarga de un archivo HTML (Informe-243240011909044.html), que en el turno (FA-45-04-25.vbs). Al ejecutar, este script facilita la descarga de un archivo comprimido (invoicexpress.zip), en el que un archivo (invoicexpress.cmd) para ejecutar InvoiceXpress.jar es responsable como un cambio en el acceso remoto -trojaner, que también establece una conexión con un comando y un servidor de control.

Después de la ejecución, Raty lleva a cabo varias acciones, aunque no son las únicas que se destacan por ESET:

• Recopilación de información

cualquiera Grabación de imagen y video del sitio web de la víctima.

cualquiera Grabación de audio a través del micrófono.

cualquiera Captura de pantalla del dispositivo de la víctima.

cualquiera Keylogging: Pulso de teclado de grabación (Keylogging).

• Resistencia: Raty alcanza la persistencia en Windows, que copia en el sistema y se viste como un archivo PNG. Luego cree una clave llamada Autunkey en un registro de datos que garantice que el software malicioso comenzará automáticamente con cada registro.
• Comando y control: Establece una conexión con el comando y el servidor de impuestos, que se encuentra en Equinix-Connect-GeeAgb, un proveedor de servicios web. En el análisis ESET, la muestra intentó determinar la comunicación a través de TCP 8911. También se identificaron módulos como el inicio de sesión de paquetes, el paquetekeepalive y la desconexión del paquete, que se utilizaron para administrar la autenticación y conexión iniciales con el servidor de impuestos.
• Actividades maliciosas: También contiene paquetes que se utilizan para habilitar un bloqueo de pantalla y, por lo tanto, ocultar actividades maliciosas. Además, otros paquetes con los que el mouse/botón y la pantalla se pueden controlar o congelar para evitar la interacción del usuario.
• Transferencia de archivos y pelado: Presencia de paquetes con los que puede descargar y cargar archivos entre el C2 y el dispositivo infectado. También httputil.java, que administraría la comunicación HTTP.