Detectan malware que roba datos simulando ser un módulo IIS de Microsoft

Los investigadores de los SpiderLabs de Trustwave han detectado una pieza de malware que recopila los datos introducidos en formularios web, pretendiendo ser un módulo del software de web hosting IIS (Internet Information Services) de Microsoft. La mayoría de los antivirus no pueden detectar esta pieza maliciosa, denominada “INS”.

El malware aún no se ha visto en exceso pero sus características son interesantes, según describe Josh Grunzweig, investigador de malware de Trustwave en el blog de la compañía.

ISN es una DLL (dynamic link libraray) maliciosa, instalada como un módulo para ISS de Microsoft. El instalador de ISN contiene cuatro versiones del DLL, una de las cuales se sirve dependiendo de si la víctima utiliza la versión de 32 o de 64-bits de IIS6 o IIS7+. “Este módulo es de especial preocupación porque a día de hoy es indetectable por la mayoría de los productos antivirus”, explica Grunzweig.

Si se detecta el instalador de ISN, es porque se ha hecho una “detección heurística general”, añade el experto; esto significa que el software de seguridad busca aspectos del mismo que sean sospechosos y llamativos, por ejemplo si está enviando datos a otro servidor.

ISN recopila datos de peticiones POST. La información robada se obtiene desde el propio IIS, que elude la encriptación y después se envía a algún punto. El módulo malicioso puede ser configurado para monitorizar información de URIs (uniform resource identifier) específicas, añade Grunzweig.

El malware ha sido visto “atacando los datos de tarjetas de crédito en sitios de comercio electrónico, sin embargo, también puede utilizarse para robar logins o cualquier otra información sensible enviada a una instancia IIS comprometida”. “En general, este malware no parece estar muy extendido”, añade Grunzweig. “Sin embargo, el bajo ratio de detección combinado con la funcionalidad específica del malware le convierten en una amenaza muy real”. Jeremy Kirk, IDG News Service

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con
info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies