Un malware vise directement IIS
Un nouveau logiciel malveillant visant le secteur du commerce en ligne s’installe directement comme module du serveur Web de Microsoft IIS, contournant ainsi le chiffrement des connexions.
Dans un billet de blog, Josh Grunzweig, chercheur au sein des SpiderLabs de Trustwave, décrypte le fonctionnement d’un nouveau logiciel malveillant visant le secteur du commerce en ligne. Contrairement à Pony, qui s’attaque aux utilisateurs finaux, celui que Josh Grunzweig baptise ISN s’installe sous la forme d’une librairie à chargement dynamique (DLL) fonctionnant comme un module du serveur Web de Microsoft, IIS.
Au moment de la rédaction de son billet de blog, ISN était encore « indétectable par presque tous les anti-virus ». Sa spécificité ? Il « est utilisé par les attaquants pour cibler des informations sensibles dans les requêtes POST et dispose de mécanismes d’exfiltration des données. Le chiffrement est contourné puisque le logiciel malveillant extrait les données d’IIS lui-même », explique le chercheur. Et de préciser qu’ISN a « été observé visant les données de cartes de crédit sur des sites de commerce électronique, mais il pourrait être utilisé pour voler des identifiants de connexion ou d’autres informations sensibles transmises à une instance IIS compromise ».
Les attaquants pilotent simplement ISN via des commandes transmises au sein de requêtes HTTP, deux en particulier : une permettant de récupérer les données récoltées par le logiciel malveillant, et une autre visant à supprimer le fichier de stockage de ces données. Pour l’heure, la diffusion d’ISN resterait limitée « mais son taux de détection extrêmement bas et ses fonctionnalités en font une menace très réelle ».