Una nueva amenaza está siendo propagada en las últimas horas y es detectada por ESET NOD32 como Win32/Induc.A virus. En las primeras 24 horas de la aparición de este código malicioso, nuestro sistema estadístico de malware, ThreatSense.Net, ha detectado más de 30 mil archivos modificados por esta amenaza.

Lo novedoso de este código malicioso radica en que esta infecta inicialmente los archivos del lenguaje de programación Delphi, para que cada aplicación que se genere con este lenguaje sea modificado con el código del malware. Esto significa que cualquier empresa o desarrollador que tenga su sistema infectado y luego compile una aplicación nueva, esta contendrá el malware.

La siguiente imagen resume el comportamiento del virus:

El funcionamiento del código malicioso parece referir a una prueba de concepto (PoC), ya que no posee rutinas dañinas ni instrucciones destructivas, sino únicamente las modificaciones en el lenguaje para continuar con la reproducción del malware en diversos sistemas.

Delphi es un lenguaje de programación muy utilizado, especialmente en sistemas que requieran bases de datos robustas y mucho procesamiento de información, como bancos u organizaciones financieras. De esta forma, las empresas que se dediquen al desarrollo de aplicaciones y utilicen este lenguaje de programación, se verán muy afectadas, ya que de tener sus sistemas infectados, todas las aplicaciones que generen para sus clientes tendrán código malicioso embebido, y serán detectadas como amenazas por el antivirus.

En el día de la fecha, Juraj Malcho, líder del laboratorio de ESET en Slovakia, nos comentaba que: “en el primer periodo de aparición de la amenaza, cuando el virus aún no era detectado, logró infectar un número importante de sistemas. Con la detección, muchas empresas se nos acercaron indicando que la detección de sus aplicaciones eran falsos positivos, cuando en realidad esto no es así”.

Por este motivo es importante que aquellos que se dediquen al desarrollo en lenguaje Delphi, conozcan esta amenaza y aseguren sus sistemas para no sufrir este problema, que no se debe a un falso positivo, y puede dañar la reputación de la empresa y los profesionales, además de contribuir con la propagación de Induc.

La amenaza continuará su propagación y es de esperar que otras funcionalidades sean incluidas en nuevas variantes, o futuras amenazas; incluso con capacidades más destructivas, o afectando otros lenguajes de programación.

Otra cosa curiosa e irónica que ha ocurrido es que ya hemos detectado otros troyanos compilados en Delphi e infectados con este virus, lo cual significa que el desarrollador del troyano había sido infectado previamente.

El Laboratorio de ESET agradece a los desarrolladores que han colaborado en el reporte y pruebas de conceptos realizadas para realizar este informe.

Sebastián

Actualización: puede obtner más información sobre esta amenaza en Preguntas frecuentes sobre Induc

Categories: Alertas, Malware
11 Comments »

Como vimos técnicas maliciosas anti-análisis, el volumen de códigos maliciosos que a diario circulan por Internet, dan una idea lo suficientemente concreta sobre el estado actual e importante nivel de problema que representan estas amenazas para la seguridad a nivel global.

Sin embargo, la cuestión con el malware no circula solo en cuanto a la importante cantidad que existe sino que también en torno a su nivel de complejidad, profesionalización y eficacia con el que en la actualidad operan.

Esta situación no es casual, y quizás responde al gradual aumento de creadores de malware que en los últimos tiempos se ha incrementado, generando aplicativos que permiten concebir de forma automática infinidad de variantes de códigos maliciosos, agregando en cada uno de ellos diferentes niveles de complejidad.

Estos niveles de complejidad radican, básicamente, en incorporar en el código del malware diferentes instrucciones destinadas a entorpecer el análisis del binario y/o prolongar su ciclo de vida. Un ejemplo concreto de aplicativo concebido para el desarrollo automático de malware, es el que se observa en la siguiente captura:

Este programa es del tipo cripter (diseñado para intentar dejar un malware “indetectable” por parte de las compañías antivirus) y presenta una serie de opciones destinadas a incorporar mecanismos de autodefensa, como la detección de máquinas virtuales (no deja ser ejecutado en entornos controlados), impide analizar el código del malware con técnicas anti-debugger, entre muchas otras.

Esta aplicación incluso permite agregar funcionalidades adicionales y bastante comunes como terminar procesos, evitar el inicio del sistema en modo seguro, etc. En la siguiente captura se aprecian estas opciones:

El problema más importante de este tipo de aplicaciones pasa por lo sencillo que es crear amenazas con protecciones anti-análisis complejas con solo unos cuantos clics, lo que llamamos malware for dummies.

A pesar de la existencia de este tipo de amenazas, los usuario de ESET NOD32 pueden quedarse tranquilos ya que esta aplicación es detectada de manera proactiva al igual que el malware creado a través de ella.

Jorge

Categories: Malware
1 Comment »

Las técnicas que habitualmente se propagan utilizando Internet como plataforma de ataque, como el Drive-by-Download, son una de las principales amenazas actuales en el escenario del malware. Estos ataques, se ejecutan a través de scripts maliciosos insertados en el código HTML de los sitios. Es frecuente que dichos scripts, sean inyectados en sitios benignos por los atacantes.

En este contexto, los usuarios nos consultan frecuentemente, a través de los comentarios en el Blog o a del soporte técnico, por problemas de códigos maliciosos en sus propios sitios. Es decir, usuarios que poseen sus páginas web y que, navegando por las mismas, se encuentran con el alerta de ESET NOD32 Antivirus al detectar una amenaza. La pregunta que estos usuarios nos hacen es: ¿cómo inyectaron código en mi sitio web?

Si por algún motivo, un administrador de un sitio web observa que el mismo posee contenido malicioso, debe realizar dos acciones. La primera de ellas es ubicar el script malicioso y eliminarlo del código fuente. Esta actividad solo puede ser realizada por alguien que conozca el código del sitio web. Se debe tener en cuenta, además, que probablemente se trate de un script ofuscado, con el objetivo de que no se puedan identificar sus acciones.

En segundo termino, una vez eliminado el script, se debe segurizar el sitio para que esto no vuelva ocurrir. Y aquí se contesta la pregunta de cómo alguien inyectó código en una página que no le corresponde. Los motivos pueden ser varios, pero las dos causas principales para esto son las siguientes:

• Vulnerabilidades de software: ante la existencia de una de estas, un atacante podrá ejecutar código remotamente y agregar scripts en la página web, sin necesidad de contar con credenciales de acceso. Las vulnerabilidades pueden encontrarse tanto en el sistema operativo como, en el mayoría de los casos, en el software del servidor web (los dos más utilizados son Apache e Internet Information Services). En cualquiera de los casos, es de suma importancia en un servidor mantener actualizado con todos los parches cualquier software que se utilice.
• Contraseñas débiles: lamentablemente muchos usuarios aún siguen cometiendo el error de contar con credenciales débiles de acceso a los servidores. Es decir, nombres de usuario y contraseñas sencillas de adivinar, sea por un ataque de fuerza bruta o de diccionario. En cualquiera de los casos, el atacante puede a través de un ataque, obtener acceso al servidor FTP, y así poder modificar los archivos del sitio web. Para evitar este problema, es recomendable cambiar usuario y contraseña luego de un ataque de este tipo, y siempre utilizar credenciales fuertes para una mejor protección. Recomiendo la lectura del artículo Seguridad en Contraseñas, para seleccionar una contraseña fuerte.

Estos son los principales motivos por los que, en la mayoría de los casos, un atacante logra insertar contenido malicioso, en sitios web que fueron creados con fines totalmente benignos.

Es importante que los administradores mantengan sus servidores correctamente configurados. Incidentes de este tipo pueden ser perjudiciales para el sitio web. En el caso de sitios corporativos el riesgo es aún mayor: un usuario que accede al sitio web de la compañía y se le indica que el mismo es malicioso. Este tipo de casos, pueden afectar gravemente la imagen de la empresa, dando lugar a disminución de accesos en el sitio web y, además, problemas de reputación de la marca.

Sebastián

Categories: Educación, Vulnerabilidades
11 Comments »

Continuando con nuestro afán de transmitir conocimientos en torno a prevención, ESET Latinoamérica estará presente durante los días martes 18 y miércoles 19 en diferentes Universidades de Nicaragua ofreciendo una serie de charlas sobre Seguridad Antivirus en Internet.

En la misma trataremos como temáticas principales la evolución que a lo largo del tiempo ha sufrido el malware, su clasificación haciendo énfasis en las características de cada tipo, algunas otras amenazas asociadas y demostraciones en vivo donde veremos cómo trabajan determinados códigos maliciosos al infectar un sistema.

En esta ocasión las Universidades en las que estaré disertando son:

• Universidad Católica (UNICA). El martes 18 a las 15:00 hs
• Universidad Americana (UAM). El miércoles 19 a las 9:00 hs
• Universidad Centroamericana (UCA). El mismo miércoles a las 15:00 hs

Como siempre, la entrada es libre y gratuita por lo que espero contar con muchos de nuestros lectores.

Posteriormente, el día jueves 20 estaremos presentes una vez más en el prestigioso evento Technology Day, donde dictaré las charlas sobre el rol de la educación en materia de seguridad, en el primer espacio de 9.00 a 10.20 hs. y el cálculo de TCO (Costo Total de Propiedad) en seguridad, en el segundo panel de seguridad, de 13.35 a 14.55 hs.

Jorge

Categories: Educación
No Comments »

Continuando con nuestra costumbre de llevar educación en seguridad de la información a todos los rincones de Latinoamérica, esta vez estaremos presentes en un importante evento en la ciudad de Bahía Blanca: las Jornadas del Sur.

Este es un importante evento que estará reuniendo a más de 500 personas de todo el país, e incluso con asistentes y disertantes del resto del continente. Además de su importancia por la realización de un congreso de informática en el sur del país. En el mismo, se tratarán diversos temas relacionados con las tecnologías: software libre, gobierno electrónico, cultura, educación, voto electrónico, robótica y, por supuesto, seguridad.

Además de ser sponsor del evento, una de las charlas de seguridad será brindada por ESET Latinoamérica, el día Lunes 17 de Agosto, a las 9:15 hs., en la Universidad Nacional del Sur (Alem 1253). La misma, titulada “Crimeware: el crimen del Siglo XXI”, tratara de manera concreta y detallada la problemática que existe actualmente en torno al ciber crimen, mostrando cómo interactuán diferentes actores maliciosos  con fines económicos y cuál es el rol que cumple cada uno de ellos dentro de la red delictiva que representa el malware actual.

Como siempre, es un placer para nosotros llegar a nuevos eventos y conferencias prestigiosas en la región, y los esperamos el día Lunes en nuestra charla.

Sebastián

Categories: Eventos
No Comments »