Onderzoekers hebben een nieuwe variant van de beruchte Sykipot Trojan ontdekt, die nu geen e-mailbijlagen meer gebruikt, maar kwaadaardige links. Sykipot was in het verleden bij verschillende gerichte aanvallen betrokken, die vooral tegen Amerikaanse defensiebedrijven waren gericht. De malware kwam begin dit jaar in het nieuws omdat het PC/SC x509 smartcards kon kapen.

Bij de nieuwste campagne gebruiken de aanvallers geen kwaadaardige e-mailbijlagen, maar kwaadaardige links. Deze links wijzen naar een pagina waarop exploits voor Adobe Flash Player en Internet Explorer draaien. Het lek in Flash Player dateert van vorig jaar, maar in het geval van IE gaat het om CVE-2012-1889. Dit is een zero-day kwetsbaarheid waarvoor nog altijd geen beveiligingsupdate van Microsoft is verschenen.

Domeinnaam
Eenmaal geïnstalleerd maakt de malware via SSL verbinding met een Command & Control-server. Eén van de domeinnamen die als C&C of als domein voor het verspreiden van malware wordt gebruikt is aeroconf13.org.

Deze domeinnaam houdt mogelijk verband met een spear phishing campagne tegen potentiële bezoekers van de IEEE Aerospace Conferentie, aldus Jaime Blasco van Alienvault Labs.

Met dank aan Michael voor de tip