Com o tempo, a quantidade de dados pessoais que armazenamos e usamos em nossos computadores está aumentando. Portanto, devemos cuidar da segurança fornecida pelos programas que instalamos para que não haja vazamentos ou falhas de segurança, como aconteceu agora com VLC.
Certamente muitos de vocês já sabem que aqui nos referimos a um dos players multimídia mais amados e usados do mundo. Este é um produto que ganhou a confiança da maioria ao longo dos anos e o encontramos na maioria dos desktops e dispositivos móveis. No entanto, pelo que sabemos agora, pesquisadores de segurança descobriram um campanha maliciosa que afeta diretamente este software.
Especificamente, queremos dizer que uma série de hackers associados ao governo chinês estão usando o VLC para iniciar um carregador de malware personalizado . A princípio, tudo indica que isso é para fins de espionagem. Dizemos isso porque inicialmente visa várias entidades relacionadas a atividades governamentais, legais e religiosas. Da mesma forma, vestígios de ataques por meio do aplicativo foram vistos em organizações não governamentais em pelo menos três continentes.
Vale ressaltar que a atividade maliciosa foi atribuída a um grupo conhecido que se autodenomina Cicada. Estamos falando de um atacante que já usou outros nomes no passado e que está ativo desde 2006. Ao mesmo tempo, é interessante saber que os primeiros movimentos nesse sentido foram detectados em meados de 2021, mas ele permaneceu ativo. para o presente.
VLC, vítima de malware de espionagem
Para nos dar uma ideia de tudo isso, há evidências de que o acesso inicial a algumas das redes comprometidas foi feito por meio de um Microsoft Servidor do Exchange . Mais tarde, especialistas da empresa de segurança Symantec descobriram que, após obter esse acesso, o invasor implantou um carregador personalizado em outros sistemas comprometidos com o ajuda do VLC acima mencionado .
Como já foi descoberto, o invasor usa uma versão limpa do popular media player. Inclui um arquivo DLL malicioso armazenado no mesmo caminho que as funções de exportação do media player. Esta é uma técnica conhecida como Carregamento lateral de DLL e é amplamente usado para carregar malware em processos legítimos e ocultar atividades maliciosas. Além do carregador personalizado que mencionamos, um servidor WinVNC também é exibido. Com isso é possível obter controle remoto dos sistemas das vítimas afetadas.
Por sua vez, esse mesmo invasor que estamos discutindo usa uma ferramenta que se acredita ser proprietária, a Sodamaster, e vem sendo usada desde pelo menos o ano de 2020. Ela é executada na memória do sistema e está equipada para evitar a detecção pelo invasor. software de segurança instalado. Todo o conjunto malicioso também está preparado para coletar uma grande quantidade de informações do computador afetado . Falamos sobre dados da importância do sistema operacional ou dos processos em execução. Além de baixar e executar várias cargas perigosas do servidor de controle.
