Detectan malware que roba datos simulando ser un módulo IIS de Microsoft

Los investigadores de los SpiderLabs de Trustwave han detectado una pieza de malware que recopila los datos introducidos en formularios web, pretendiendo ser un módulo del software de web hosting IIS (Internet Information Services) de Microsoft. La mayoría de los antivirus no pueden detectar esta pieza maliciosa, denominada “INS”.

El malware aún no se ha visto en exceso pero sus características son interesantes, según describe Josh Grunzweig, investigador de malware de Trustwave en el blog de la compañía.

ISN es una DLL (dynamic link libraray) maliciosa, instalada como un módulo para ISS de Microsoft. El instalador de ISN contiene cuatro versiones del DLL, una de las cuales se sirve dependiendo de si la víctima utiliza la versión de 32 o de 64-bits de IIS6 o IIS7+. “Este módulo es de especial preocupación porque a día de hoy es indetectable por la mayoría de los productos antivirus”, explica Grunzweig.

Si se detecta el instalador de ISN, es porque se ha hecho una “detección heurística general”, añade el experto; esto significa que el software de seguridad busca aspectos del mismo que sean sospechosos y llamativos, por ejemplo si está enviando datos a otro servidor.


ISN recopila datos de peticiones POST. La información robada se obtiene desde el propio IIS, que elude la encriptación y después se envía a algún punto. El módulo malicioso puede ser configurado para monitorizar información de URIs (uniform resource identifier) específicas, añade Grunzweig.

El malware ha sido visto “atacando los datos de tarjetas de crédito en sitios de comercio electrónico, sin embargo, también puede utilizarse para robar logins o cualquier otra información sensible enviada a una instancia IIS comprometida”. “En general, este malware no parece estar muy extendido”, añade Grunzweig. “Sin embargo, el bajo ratio de detección combinado con la funcionalidad específica del malware le convierten en una amenaza muy real”.

Jeremy Kirk, IDG News Service



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper