Nel tempo, la quantità di dati personali che memorizziamo e utilizziamo sui nostri computer è in aumento. Quindi, dobbiamo prenderci cura della sicurezza fornita dai programmi che installiamo in modo che non ci siano perdite o falle di sicurezza, come è successo ora con VLC.
Sicuramente molti di voi già sanno che qui ci riferiamo a uno dei lettori multimediali più amati e utilizzati al mondo. Questo è un prodotto che ha guadagnato la fiducia della maggior parte nel corso degli anni e lo troviamo sulla maggior parte dei desktop e dei dispositivi mobili. Tuttavia, da quello che sappiamo ora, i ricercatori di sicurezza hanno scoperto a campagna dannosa che colpisce direttamente questo software.
In particolare, intendiamo che una serie di hacker associati al governo cinese lo sono utilizzando VLC per avviare un caricatore di malware personalizzato . All'inizio, tutto indica che questo è per scopi di spionaggio. Lo diciamo perché inizialmente si rivolge a varie entità legate ad attività governative, legali e religiose. Allo stesso modo, tracce di attacchi tramite l'app sono state viste su organizzazioni non governative in almeno tre continenti.
Vale la pena ricordare che l'attività dannosa è stata attribuita a un noto gruppo che si fa chiamare Cicada. Stiamo parlando di un aggressore che ha già utilizzato altri nomi in passato e che è attivo dal 2006. Allo stesso tempo, è interessante sapere che i primi movimenti in tal senso sono stati rilevati a metà del 2021, ma è rimasto attivo. al presente.
VLC, vittima di malware di spionaggio
Per darci un'idea di tutto questo, ci sono prove che l'accesso iniziale ad alcune delle reti compromesse è stato effettuato tramite a Microsoft server di Exchange . Successivamente, gli esperti della società di sicurezza Symantec hanno scoperto che, dopo aver ottenuto questo accesso, l'attaccante ha distribuito a caricatore personalizzato su altri sistemi compromessi con il aiuto del suddetto VLC .
Come è stato ora scoperto, l'attaccante utilizza una versione pulita del popolare lettore multimediale. Include un file DLL dannoso archiviato nello stesso percorso delle funzioni di esportazione del lettore multimediale. Questa è una tecnica nota come Caricamento laterale della DLL ed è ampiamente utilizzato per caricare malware in processi legittimi e nascondere attività dannose. Oltre al caricatore personalizzato che abbiamo menzionato, viene visualizzato anche un server WinVNC. Con questo è possibile ottenere il controllo remoto degli impianti delle vittime colpite.
A sua volta, lo stesso attaccante di cui stiamo discutendo utilizza uno strumento che si ritiene sia proprietario, Sodamaster, ed è stato utilizzato almeno dall'ultimo anno 2020. Funziona nella memoria di sistema ed è attrezzato per eludere il rilevamento da parte dell'attaccante. software di sicurezza installato. Anche l'intero set dannoso è pronto raccogliere una grande quantità di informazioni dal computer interessato . Si parla di dati dell'importanza del sistema operativo o dei processi in esecuzione. Oltre a scaricare ed eseguire vari carichi utili pericolosi dal server di controllo.