Postupem času se množství osobních údajů, které ukládáme a používáme na našich počítačích, zvyšuje. Proto se musíme postarat o zabezpečení poskytované programy, které instalujeme, aby nedocházelo k únikům nebo bezpečnostním chybám, jako se to stalo nyní VLC.
Mnozí z vás jistě již vědí, že zde hovoříme o jednom z nejoblíbenějších a nejpoužívanějších multimediálních přehrávačů na světě. Jedná se o produkt, který si v průběhu let získal důvěru většiny a najdeme jej na většině stolních počítačů a mobilních zařízení. Nicméně z toho, co nyní víme, bezpečnostní výzkumníci objevili a škodlivou kampaň, která přímo ovlivňuje tento software.
Konkrétně máme na mysli řadu hackerů spojených s čínskou vládou pomocí VLC ke spuštění vlastního zavaděče malwaru . Zpočátku vše nasvědčuje tomu, že jde o špionážní účely. Říkáme to proto, že se zpočátku zaměřuje na různé subjekty související s vládními, právními a náboženskými aktivitami. Podobně byly stopy po útocích prostřednictvím aplikace vidět na nevládních organizacích nejméně na třech kontinentech.
Za zmínku stojí, že škodlivá aktivita byla připsána známé skupině, která si říká Cicada. Mluvíme o an útočník který již v minulosti používal jiná jména a působí od roku 2006. Zároveň je zajímavé, že první pohyby v tomto ohledu byly detekovány v polovině roku 2021, aktivní však zůstal. do současnosti.
VLC, oběť špionážního malwaru
Abychom si o tom všem udělali představu, existují důkazy, že počáteční přístup k některým z napadených sítí byl proveden prostřednictvím a Microsoft Exchange server . Později odborníci z bezpečnostní společnosti Symantec zjistili, že po získání tohoto přístupu útočník nasadil a zakázkový nakladač na jiných kompromitovaných systémech s pomocí výše uvedeného VLC .
Jak bylo nyní zjištěno, útočník používá čistou verzi oblíbeného přehrávače médií. Obsahuje škodlivý soubor DLL uložený ve stejné cestě jako funkce exportu přehrávače médií. Jedná se o techniku známou jako DLL sideloading a je široce používán k načtení malwaru do legitimních procesů a skrytí škodlivé činnosti. Kromě vlastního zavaděče, který jsme zmínili, je zobrazen také server WinVNC. S tímto je možné získat dálkové ovládání systémů postižených obětí.
Ten samý útočník, o kterém diskutujeme, zase používá nástroj, který je považován za proprietární, Sodamaster, a používá se minimálně od minulého roku 2020. Běží v systémové paměti a je vybaven tak, aby se vyhnul detekci útočníkem. nainstalovaný bezpečnostní software. Připravena je i celá škodlivá sada shromáždit velké množství informací z postiženého počítače . Hovoříme o datech důležitosti operačního systému nebo běžících procesů. Kromě stahování a spouštění různých nebezpečných dat z řídicího serveru.
