El malware Sykipot, empleado en nuevos ataques contra la industria aeroespacial

Un equipo de investigadores de AlienVault ha detectado nuevas campañas de ataque basadas en Sykipot.

Una nueva oleada de ataques utiliza el correo electrónico para distribuir nuevas variantes del malware Sykipot, que roba información. Según los investigadores de AlienVault, una parte de estos ataques se dirigie concretamente contra la industria aeroespacial.

Jaime Blasco, director de AlienVault Labs, explica en su blog que se han detectado “numerosos cambios entre las nuevas campañas de Sykipot y las anteriores” y que se han encontrado pistas que apuntan a que estos ataques tienen su origen en China, aunque no se puede confirmar al 100%, apunta.

Los falsos emails enviados con estos nuevos ataques no distribuyen adjuntos maliciosos que explotan vulnerabilidades en Adobe Reader, Excel o Explorar para instalar Sykipot, como en ocasiones anteriores. En su lugar, contienen enlaces a webs comprometidas que explotan una vulnerabilidad en Flash Player de 2011 o una vulnerabilidad, aún pendiente de parchear, en Microsoft XML Core Services (MSXML) para instalar el malware.

Se cree que la vulnerabilidad MSXML se ha venido explotando en los ataques de junio que llevaron a Google a advertir a sus usuarios de Gmail sobre ataques patrocinados. Microsoft emitió un parche manual para esta vulnerabilidad el 12 de junio, si bien la compañía debería proporcionar un parche de seguridad automático tan pronto como sea posible porque el número de ataques que lo explotan ha ido cMalware Sykipot contra la industria aeroespacialreciendo, aconsejan desde AlienVault.

El troyano Sykipot se ha utilizado en el último año en ataques dirigidos contra agencias federales de Estados Unidos, contratistas del segmento de defensa y otras organizaciones que almacenan datos sensibles en sus sistemas informáticos. Una de las nuevas campañas de ataque de Sykipot estaba dirigida a los posibles asistentes a la conferencia para expertos, académicos, personal militar y proveedores de la industria aeroespacial, 2013 IEEE Aerospace Conference.

Según Blasco, cada variante de Sykipot está personalizada para un grupo particular. En enero, por ejemplo, los investigadores de AlienVault detectaron una versión diseñada para sobrepasar la autenticación de dos factores de las tarjetas inteligentes PC/SC x509, empleadas habitualmente para la gestión de accesos en el sector de defensa.

Las variantes de Sykipot distribuidas en los recientes ataques utilizan una ofuscación ligeramente modificada de sus archivos de configuración y se comunican con los servidores C&C sobre SSL.



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper