Des chercheurs en sécurité du laboratoire SpiderLabs  de l'entreprise Trustwave ont découvert  un malware qui dérobe les  données saisies dans des formulaires web,  en se faisant passer pour un module du serveur web IIS (Internet Information Services) de Microsoft  Surnommé ISN, ce logiciel malveillant  n'a pas souvent été repéré, mais ses caractéristiques sont intéressantes, a indiqué Josh Grunzweig,  chercheur en malwares chez Trustwave, sur le blog de l'entreprise. Il a précisé que l'ISN était une DLL illicite (dynamic link library - bibliothèque de liens dynamiques), installée dans un module pour IIS. Le logiciel d'installation du  serveur web de Microsoft  contient quatre versions de la bibliothèque, dont l'une est distribuée, selon que la victime utilise la version 32 ou 64 bits d'IIS6 ou d'IIS7 +. « Ce module est particulièrement préoccupant car il est généralement indétectable par presque tous les produits anti-virus », a souligné le spécialiste en sécurité.

Selon Josh Grunzweig, si le programme d'installation d'ISN est détecté, c'est en général via une « détection générale heuristique », ce qui signifie  que les logiciels de sécurité se penchent sur les aspects de celui-ci qui sont suspects  en les  signalant, comme si il envoyait des données vers un autre serveur. « J'utilise ce message comme un moyen de prévenir les éditeurs d'anti-virus de manière  à ce que  des détections spécifiques pour ce malware puissent être définies » a-t-il ajouté en qualifiant ce malware de plutôt « chouette ».

Un malware qui cible les informations bancaires  

ISN recueille des données à partir de requêtes POST (méthode  utilisée le plus souvent depuis un formulaire HTML pour transmettre des données en vue d'un traitement à une ressource) a expliqué le chercheur. Les informations volées sont récupérées dans le malware en lui-même qui contourne le chiffrement avant de les envoyer ailleurs. Ce logiciel malveillant peut être configuré pour surveiller les données des URI (identifiants uniformes de ressources), a poursuivi Josh Grunzweig. D'après lui, ISN est connu pour cibler les données des cartes de crédit sur les sites d'e-commerce, mais il peut  également être utilisé pour dérober les identifiants  ou toute autre information sensible envoyée à une instance IIS compromise.

« Ce malware ne semble pas être largement répandu et a seulement été détecté dans quelques cas de médecine légale, a souligné le chercheur. Toutefois,  son très faible taux de détection en fait une menace très réelle.