CSIRTCV

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

11/12/2013

Detecten programari maliciós que roba dades simulant ser un mòdul IIS de Microsoft

Troyano Els investigadors dels SpiderLabs de Trustwave han detectat una peça de programari maliciós que recopila les dades introduïdes en formularis web, pretenent ser un mòdul del programari de web allotjament IIS (Internet Information Services) de Microsoft. La majoria dels antivirus no poden detectar esta peça maliciosa, denominada “INS”.

El programari maliciós encara no s’ha vist en excés però les seues característiques són interessants, segons descriu Josh Grunzweig, investigador de programari maliciós de Trustwave en el blog de la companyia.

ISN és una DLL (dynamic enllaç libraray) maliciosa, instal·lada com un mòdul per a IIS de Microsoft. L’instal·lador d’ISN conté quatre versions del DLL, una de les quals se servix depenent de si la víctima utilitza la versió de 32 o de 64-bits d’IIS6 o IIS7+. “Este mòdul és d’especial preocupació perquè a hores d’ara és indetectable per la majoria dels productes antivirus”, explica Grunzweig.

Si es detecta l’instal·lador d’ISN, és perquè s’ha fet una “detecció heurística general”, afig l’expert; açò significa que el programari de seguretat busca aspectes d'este que siguen sospitosos i cridaners, per exemple si està enviant dades a un altre servidor.

ISN recopila dades de peticions POST. La informació robada s’obté des del mateix IIS, que eludix l’encriptació i després s’envia a algun punt. El mòdul maliciós pot ser configurat per a monitoritzar informació d’URI (uniform resource identifier) específiques, afig Grunzweig.

El programari maliciós ha sigut vist “atacant les dades de targetes de crèdit en llocs de comerç electrònic, no obstant això, també pot utilitzar-se per a robar dades d'inici de sessió o qualsevol altra informació sensible enviada a una instància IIS compromesa”. “En general, este programari maliciós no pareix estar molt estés”, afig Grunzweig. “No obstant això, la baixa ràtio de detecció combinada amb la funcionalitat específica del programari maliciós el convertixen en una amenaça molt real”.

Font: CSO-España

CSIRT-CV