« Ces dernières semaines, nous avons détecté une nouvelle vague d'attaques impliquant Sykipot », a déclaré dans un blog Jaime Blasco, responsable d'AlienVault Labs.  «  Comparée aux attaques menées par le malware dans le passé, cette campagne utilise des modalités un peu différence ». Selon le chercheur en sécurité, certains indices laissent penser que les attaques sont menées depuis la Chine. « Mais nous ne sommes pas en mesure de le confirmer à 100% », a-t-il ajouté. Pour propager le malware, les emails utilisés comme vecteur ne comportent plus de pièces jointes infectées qui exploitent des vulnérabilités dans Adobe Reader, Microsoft Excel ou Internet Explorer. Cette fois-ci, pour provoquer l'installation du logiciel malveillant, les messages incluent des liens qui redirigent vers des sites compromis lesquels exploitent soit une vulnérabilité dans Flash Player 2011, soit une faille non encore corrigée dans Microsoft XML Core Services (MSXML).

La vulnérabilité MSXML exploitée

Les chercheurs pensent que la vulnérabilité MSXML a été exploitée dans les attaques menées en juin, soutenues semble-t-il par un gouvernement. Celles-ci avaient incité Google à mettre en garde les utilisateurs de Gmail. Le 12 juin, Microsoft a publié un document expliquant comment se protéger contre cette vulnérabilité, le temps de mettre au point un correctif. « Le nombre d'attaques exploitant la vulnérabilité MSXML sont en augmentation, et l'éditeur devrait livrer un patch de sécurité automatique aussi vite que possible », a déclaré le responsable de AlienVault Labs.

L'année passée, le cheval de Troie Sykipot a déjà été utilisé dans des attaques ciblant des agences fédérales américaines, des entreprises de défense et d'autres organisations susceptibles de stocker des données sensibles dans leurs systèmes informatiques. Cette fois, dans les dernières campagnes d'attaque, Sykipot a ciblé des participants potentiels à la conférence IEEE Aerospace 2013, c'est-à-dire des experts de l'aérospatiale, des universitaires, des militaires et des dirigeants de l'industrie aéronautique. « Le malware Sykipot est décliné en différentes variantes, chacune adaptée au groupe qui est visé », a expliqué Jaime Blasco. Par exemple, au mois de janvier dernier, les chercheurs d'AlienVault ont repéré une version du malware dont l'objectif était de contourner l'authentification à deux niveaux des cartes à puce PC/SC x509 couramment utilisées pour la gestion des accès dans le secteur de la défense.

Les fichiers de configuration des variantes de Sykipot diffusées dans les récentes attaques utilisent un mode de camouflage légèrement différent et les malwares communiquent avec des serveurs de commande et de contrôle (C&C) via SSL. « Les domaines C&C utilisés par les attaquants ont été enregistrés le mois passé », a précisé Jaime Biasco.