El malware Sykipot, se recibe en mails con enlaces a webs que explotan vulnerabilidades de Flash Player o de MSXML aun no parcheada

Un equipo de investigadores de AlienVault ha detectado nuevas campañas de ataque basadas en Sykipot.

Una nueva oleada de ataques utiliza el correo electrónico para distribuir nuevas variantes del malware Sykipot, que roba información. Según los investigadores de AlienVault, una parte de estos ataques se dirigie concretamente contra la industria aeroespacial.

Jaime Blasco, director de AlienVault Labs, explica en su blog que se han detectado “numerosos cambios entre las nuevas campañas de Sykipot y las anteriores” y que se han encontrado pistas que apuntan a que estos ataques tienen su origen en China, aunque no se puede confirmar al 100%, apunta.

Los falsos emails enviados con estos nuevos ataques no distribuyen adjuntos maliciosos que explotan vulnerabilidades en Adobe Reader, Excel o Explorar para instalar Sykipot, como en ocasiones anteriores. En su lugar, contienen enlaces a webs comprometidas que explotan una vulnerabilidad en Flash Player de 2011 o una vulnerabilidad, aún pendiente de parchear, en Microsoft XML Core Services (MSXML) para instalar el malware.

Se cree que la vulnerabilidad MSXML se ha venido explotando en los ataques de junio que llevaron a Google a advertir a sus usuarios de Gmail sobre ataques patrocinados. Microsoft emitió un parche manual para esta vulnerabilidad el 12 de junio, si bien la compañía debería proporcionar un parche de seguridad automático tan pronto como sea posible porque el número de ataques que lo explotan ha ido creciendo, aconsejan desde AlienVault.

El troyano Sykipot se ha utilizado en el último año en ataques dirigidos contra agencias federales de Estados Unidos, contratistas del segmento de defensa y otras organizaciones que almacenan datos sensibles en sus sistemas informáticos. Una de las nuevas campañas de ataque de Sykipot estaba dirigida a los posibles asistentes a la conferencia para expertos, académicos, personal militar y proveedores de la industria aeroespacial, 2013 IEEE Aerospace Conference.

Según Blasco, cada variante de Sykipot está personalizada para un grupo particular. En enero, por ejemplo, los investigadores de AlienVault detectaron una versión diseñada para sobrepasar la autenticación de dos factores de las tarjetas inteligentes PC/SC x509, empleadas habitualmente para la gestión de accesos en el sector de defensa.

Las variantes de Sykipot distribuidas en los recientes ataques utilizan una ofuscación ligeramente modificada de sus archivos de configuración y se comunican con los servidores C&C sobre SSL.
 Fuente

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies