A Sykipot trójai ismét lendületbe jött, és ezúttal a légitársaságok, illetve a légiközlekedéssel foglalkozó vállalatok alkalmazottjait igyekszik megkörnyékezni.

Kristóf Csaba írja a Computerworld.hu-n: A Sykipot trójai korábbi variánsai már bebizonyították, hogy nagyon komolyan számolni kell e kártékony programmal. A trójai készítői nem igen szoktak azzal foglalkozni, hogy a károkozó felhasználásával kezdeményezett támadásaik során milyen védelmi arzenállal rendelkező szervezeteket állítanak célkeresztbe. Jól példázza mindezt, hogy az elmúlt egy évben több amerikai ügynökséget is sújtott a Sykipot, sőt idén januárban az Amerikai Védelmi Minisztérium egyes rendszereit is ostromolta. A legújabb variánsa pedig ezúttal a légitársaságok, illetve a légi közlekedéssel foglalkozó vállalatok alkalmazottjait próbálja csőbe húzni, és ilyen módon megfertőzni különböző rendszereket. Vagyis ezúttal is elsősorban célzott támadásokról beszélhetünk.

A Sykipot legutóbbi változatát az AlienVault biztonsági kutatói fedezték fel, majd elemezték annak működését. A vizsgálatok során bebizonyosodott, hogy a trójainak ezúttal az a legfontosabb feladata, hogy adatokat szivárogtasson ki szervezetektől. Ehhez azt kell elérnie, hogy legalább egy számítógépre felkerüljön az adott vállalat hálózatában. Ezt most azzal próbálja megtenni, hogy egy olyan levélben terjed, amely egy 2013-ban megrendezésre kerülő légügyi konferenciára invitálja az e-mailek címzettjeit. Az eddigiektől eltérően azonban a kártékony kód nem a levelek mellékletében található, hanem az üzenetekben szereplő hivatkozásra való kattintással tud felkerülni a számítógépekre.

Amikor a felhasználó egy sérülékeny rendszeren rákattint a káros hivatkozásra, akkor a trójai azonnal képes rákerülni a PC-kre, majd különféle konfigurációs állományok alapján csatlakozik egy távoli vezérlőszerverhez. E kiszolgálókhoz tartozó domaineket a kiberbűnözés a múlt hónapban regisztrálta be.

A Sykipot által eddig kihasznált sebezhetőségek. Forrás: AlienVault 

A Sykipot most nem az Adobe Reader, a Microsoft Excel vagy az Internet Explorer sebezhetőségét próbálja a saját javára fordítani, hanem azt a Microsoft XML Core Services (MSXML) esetében feltárt rendellenességet, amely június első felében került nyilvánosságra. Erre a hibára a júliusi hibajavító kedden megjelenő egyik frissítés szolgál megoldással.

Az AlienVault még vizsgálja, hogy honnan indult útjára az új Sykipot, de a kutatók szerint a legvalószínűbb, hogy a fertőzések forrása Kínában található.

computerworld