Over tid øker mengden personopplysninger som vi lagrer og bruker på datamaskinene våre. Derfor må vi ta vare på sikkerheten som tilbys av programmene vi installerer, slik at det ikke er lekkasjer eller sikkerhetsfeil, slik det har skjedd nå med VLC.
Mange av dere vet sikkert allerede at her refererer vi til en av de mest elskede og brukte multimediaspillerne i verden. Dette er et produkt som har fått tillit hos de fleste gjennom årene, og vi finner det på de fleste stasjonære og mobile enheter. Men fra det vi vet nå, har sikkerhetsforskere oppdaget en ondsinnet kampanje som direkte påvirker denne programvaren.
Konkret mener vi at en rekke hackere knyttet til den kinesiske regjeringen er ved å bruke VLC for å starte en tilpasset skadelig programvarelaster . Til å begynne med tyder alt på at dette er i spionøyemed. Vi sier dette fordi det i utgangspunktet retter seg mot ulike enheter relatert til offentlige, juridiske og religiøse aktiviteter. Tilsvarende har man sett spor etter angrep via appen på ikke-statlige organisasjoner på minst tre kontinenter.
Det er verdt å nevne at den ondsinnede aktiviteten har blitt tilskrevet en kjent gruppe som kaller seg Cicada. Vi snakker om en angriper som allerede har brukt andre navn tidligere og som har vært aktiv siden 2006. Samtidig er det interessant å vite at de første bevegelsene i denne forbindelse ble oppdaget i midten av 2021, men han har holdt seg aktiv. til i dag.
VLC, offer for spionprogramvare
For å gi oss en idé om alt dette, er det bevis på at den første tilgangen til noen av de kompromitterte nettverkene ble gjort gjennom en Microsoft Utvekslingsserver . Senere oppdaget eksperter fra sikkerhetsselskapet Symantec at etter å ha fått denne tilgangen, satte angriperen inn en tilpasset laster på andre kompromitterte systemer med hjelp av den nevnte VLC .
Som det nå har blitt oppdaget, bruker angriperen en ren versjon av den populære mediespilleren. Den inkluderer en ondsinnet DLL-fil som er lagret i samme bane som mediespillerens eksportfunksjoner. Dette er en teknikk kjent som DLL-sidelasting og er mye brukt til å laste inn skadelig programvare i legitime prosesser og skjule ondsinnet aktivitet. I tillegg til den tilpassede lasteren som vi nevnte, vises også en WinVNC-server. Med dette er det mulig å få fjernkontroll av systemene av de berørte ofrene.
I sin tur bruker denne samme angriperen som vi diskuterer et verktøy som antas å være proprietært, Sodamaster, og har blitt brukt siden minst det siste året 2020. Det kjører i systemminnet og er utstyrt for å unngå oppdagelse av angriperen. sikkerhetsprogramvare installert. Hele det ondsinnede settet er også forberedt på samle inn en stor mengde informasjon fra den berørte datamaskinen . Vi snakker om data om viktigheten av operativsystemet eller de kjørende prosessene. I tillegg til å laste ned og utføre ulike farlige nyttelaster fra kontrollserveren.
