Una nueva amenaza está siendo propagada en las últimas horas y es detectada por ESET NOD32 como Win32/Induc.A virus. En las primeras 24 horas de la aparición de este código malicioso, nuestro sistema estadístico de malware, ThreatSense.Net, ha detectado más de 30 mil archivos modificados por esta amenaza.
Lo novedoso de este código malicioso radica en que esta infecta inicialmente los archivos del lenguaje de programación Delphi, para que cada aplicación que se genere con este lenguaje sea modificado con el código del malware. Esto significa que cualquier empresa o desarrollador que tenga su sistema infectado y luego compile una aplicación nueva, esta contendrá el malware.
La siguiente imagen resume el comportamiento del virus:
El funcionamiento del código malicioso parece referir a una prueba de concepto (PoC), ya que no posee rutinas dañinas ni instrucciones destructivas, sino únicamente las modificaciones en el lenguaje para continuar con la reproducción del malware en diversos sistemas.
Delphi es un lenguaje de programación muy utilizado, especialmente en sistemas que requieran bases de datos robustas y mucho procesamiento de información, como bancos u organizaciones financieras. De esta forma, las empresas que se dediquen al desarrollo de aplicaciones y utilicen este lenguaje de programación, se verán muy afectadas, ya que de tener sus sistemas infectados, todas las aplicaciones que generen para sus clientes tendrán código malicioso embebido, y serán detectadas como amenazas por el antivirus.
En el día de la fecha, Juraj Malcho, líder del laboratorio de ESET en Slovakia, nos comentaba que: "en el primer periodo de aparición de la amenaza, cuando el virus aún no era detectado, logró infectar un número importante de sistemas. Con la detección, muchas empresas se nos acercaron indicando que la detección de sus aplicaciones eran falsos positivos, cuando en realidad esto no es así".
Por este motivo es importante que aquellos que se dediquen al desarrollo en lenguaje Delphi, conozcan esta amenaza y aseguren sus sistemas para no sufrir este problema, que no se debe a un falso positivo, y puede dañar la reputación de la empresa y los profesionales, además de contribuir con la propagación de Induc.
La amenaza continuará su propagación y es de esperar que otras funcionalidades sean incluidas en nuevas variantes, o futuras amenazas; incluso con capacidades más destructivas, o afectando otros lenguajes de programación.
Otra cosa curiosa e irónica que ha ocurrido es que ya hemos detectado otros troyanos compilados en Delphi e infectados con este virus, lo cual significa que el desarrollador del troyano había sido infectado previamente.
El Laboratorio de ESET agradece a los desarrolladores que han colaborado en el reporte y pruebas de conceptos realizadas para realizar este informe.
Sebastián
Actualización: puede obtner más información sobre esta amenaza en Preguntas frecuentes sobre Induc