Au fil du temps, la quantité de données personnelles que nous stockons et utilisons sur nos ordinateurs augmente. Par conséquent, nous devons prendre soin de la sécurité fournie par les programmes que nous installons afin qu'il n'y ait pas de fuites ou de failles de sécurité, comme cela s'est produit maintenant avec VLC.
Beaucoup d'entre vous savent sûrement déjà qu'il s'agit ici de l'un des lecteurs multimédias les plus appréciés et les plus utilisés au monde. C'est un produit qui a gagné la confiance de la plupart au fil des ans et nous le trouvons sur la plupart des ordinateurs de bureau et des appareils mobiles. Cependant, d'après ce que nous savons maintenant, les chercheurs en sécurité ont découvert un campagne malveillante qui affecte directement ce logiciel.
Plus précisément, nous voulons dire qu'une série de pirates informatiques associés au gouvernement chinois sont utiliser VLC pour lancer un chargeur de logiciels malveillants personnalisé . Au début, tout indique que c'est à des fins d'espionnage. Nous disons cela parce qu'il cible initialement diverses entités liées aux activités gouvernementales, juridiques et religieuses. De même, des traces d'attaques via l'application ont été constatées sur des organisations non gouvernementales sur au moins trois continents.
Il convient de mentionner que l'activité malveillante a été attribuée à un groupe bien connu se faisant appeler Cicada. On parle d'un attaquant qui a déjà utilisé d'autres noms dans le passé et qui est actif depuis 2006. En même temps, il est intéressant de savoir que les premiers mouvements à cet égard ont été détectés au milieu de 2021, mais il est resté actif. Jusqu'au present.
VLC, victime d'un malware d'espionnage
Pour nous donner une idée de tout cela, il est prouvé que l'accès initial à certains des réseaux compromis s'est fait via un Microsoft Serveur d'échange . Plus tard, des experts de la société de sécurité Symantec ont découvert qu'après avoir obtenu cet accès, l'attaquant avait déployé un chargeur personnalisé sur d'autres systèmes compromis avec le aide du VLC susmentionné .
Comme cela a maintenant été découvert, l'attaquant utilise une version propre du lecteur multimédia populaire. Il inclut un fichier DLL malveillant stocké dans le même chemin que les fonctions d'exportation du lecteur multimédia. Il s'agit d'une technique connue sous le nom de Chargement latéral de DLL et est largement utilisé pour charger des logiciels malveillants dans des processus légitimes et masquer les activités malveillantes. En plus du chargeur personnalisé que nous avons mentionné, un serveur WinVNC est également affiché. Avec cela, il est possible de obtenir le contrôle à distance des systèmes des victimes touchées.
À son tour, ce même attaquant dont nous discutons utilise un outil que l'on pense être propriétaire, Sodamaster, et qui est utilisé depuis au moins l'année dernière 2020. Il s'exécute dans la mémoire système et est équipé pour échapper à la détection par l'attaquant. logiciel de sécurité installé. L'ensemble malveillant est également prêt à collecter une grande quantité d'informations à partir de l'ordinateur affecté . Nous parlons de données sur l'importance du système d'exploitation ou des processus en cours d'exécution. En plus de télécharger et d'exécuter diverses charges utiles dangereuses à partir du serveur de contrôle.
