In de loop van de tijd neemt de hoeveelheid persoonlijke gegevens die we opslaan en gebruiken op onze computers toe. Daarom moeten we zorgen voor de beveiliging die wordt geboden door de programma's die we installeren, zodat er geen lekken of beveiligingsfouten zijn, zoals nu is gebeurd met VLC.
Velen van jullie weten vast al dat we hier verwijzen naar een van de meest geliefde en gebruikte multimediaspelers ter wereld. Dit is een product dat in de loop der jaren het vertrouwen van de meesten heeft gewonnen en we vinden het op de meeste desktops en mobiele apparaten. Echter, van wat we nu weten, hebben beveiligingsonderzoekers ontdekt dat een kwaadaardige campagne die rechtstreeks van invloed is op deze software.
Concreet bedoelen we dat een reeks hackers die verband houden met de Chinese overheid zijn VLC gebruiken om een aangepaste malwarelader te starten . In eerste instantie wijst alles erop dat dit voor spionagedoeleinden is. We zeggen dit omdat het in eerste instantie gericht is op verschillende entiteiten die te maken hebben met overheids-, juridische en religieuze activiteiten. Evenzo zijn er sporen van aanvallen via de app waargenomen bij niet-gouvernementele organisaties op ten minste drie continenten.
Het is vermeldenswaard dat de kwaadaardige activiteit is toegeschreven aan een bekende groep die zichzelf Cicada noemt. We hebben het over een aanvaller die in het verleden al andere namen heeft gebruikt en die sinds 2006 actief is. Tegelijkertijd is het interessant om te weten dat medio 2021 de eerste bewegingen op dit gebied zijn geconstateerd, maar hij is actief gebleven. naar het heden.
VLC, slachtoffer van spionagemalware
Om ons een idee te geven van dit alles, zijn er aanwijzingen dat de eerste toegang tot sommige van de gecompromitteerde netwerken werd gedaan via een Microsoft Exchange server . Later ontdekten experts van het beveiligingsbedrijf Symantec dat de aanvaller na het verkrijgen van deze toegang een aangepaste lader op andere gecompromitteerde systemen met de hulp van de eerder genoemde VLC .
Zoals inmiddels is ontdekt, gebruikt de aanvaller een schone versie van de populaire mediaspeler. Het bevat een kwaadaardig DLL-bestand dat is opgeslagen in hetzelfde pad als de exportfuncties van de mediaspeler. Dit is een techniek die bekend staat als DLL-sideloaden en wordt veel gebruikt om malware in legitieme processen te laden en kwaadaardige activiteiten te verbergen. Naast de aangepaste loader die we noemden, wordt ook een WinVNC-server weergegeven. Hiermee is het mogelijk om afstandsbediening van de systemen verkrijgen van de getroffen slachtoffers.
Op zijn beurt gebruikt dezelfde aanvaller die we bespreken een tool waarvan wordt aangenomen dat deze eigendom is, Sodamaster, en die in ieder geval sinds het afgelopen jaar 2020 wordt gebruikt. Het draait in het systeemgeheugen en is uitgerust om detectie door de aanvaller te omzeilen. beveiligingssoftware geïnstalleerd. De hele kwaadaardige set is ook voorbereid om een grote hoeveelheid informatie verzamelen van de getroffen computer . We hebben het over gegevens over het belang van het besturingssysteem of de lopende processen. Naast het downloaden en uitvoeren van verschillende gevaarlijke payloads van de controleserver.
