De-a lungul timpului, cantitatea de date personale pe care le stocăm și le folosim pe computerele noastre crește. Prin urmare, trebuie să avem grijă de securitatea oferită de programele pe care le instalăm, astfel încât să nu existe scurgeri sau defecte de securitate, așa cum sa întâmplat acum cu VLC.
Cu siguranță mulți dintre voi știți deja că aici ne referim la unul dintre cele mai iubite și folosite playere multimedia din lume. Acesta este un produs care a câștigat încrederea celor mai mulți de-a lungul anilor și îl găsim pe majoritatea desktop-urilor și dispozitivelor mobile. Cu toate acestea, din ceea ce știm acum, cercetătorii în domeniul securității au descoperit un campanie rău intenționată care afectează direct acest software.
Mai exact, ne referim la o serie de hackeri asociați cu guvernul chinez folosind VLC pentru a lansa un încărcător de malware personalizat . La început, totul indică faptul că acest lucru este în scop de spionaj. Spunem asta pentru că inițial vizează diverse entități legate de activități guvernamentale, juridice și religioase. În mod similar, urme de atacuri prin intermediul aplicației au fost văzute pe organizații neguvernamentale de pe cel puțin trei continente.
Este de menționat că activitatea rău intenționată a fost atribuită unui grup binecunoscut care se numește Cicada. Vorbim despre o atacator care a folosit deja alte nume în trecut și care activează din 2006. În același timp, este interesant de știut că primele mișcări în acest sens au fost depistate la jumătatea anului 2021, dar a rămas activ. în prezent.
VLC, victimă a malware-ului de spionaj
Pentru a ne face o idee despre toate acestea, există dovezi că accesul inițial la unele dintre rețelele compromise s-a făcut printr-un Microsoft Server de schimb . Ulterior, experții de la compania de securitate Symantec au descoperit că, după ce a obținut acest acces, atacatorul a desfășurat un încărcător personalizat pe alte sisteme compromise cu ajutorul VLC-ului menționat mai sus .
După cum s-a descoperit acum, atacatorul folosește o versiune curată a popularului media player. Include un fișier DLL rău intenționat stocat pe aceeași cale ca și funcțiile de export ale playerului media. Aceasta este o tehnică cunoscută ca Încărcare laterală a DLL și este utilizat pe scară largă pentru a încărca programe malware în procese legitime și pentru a ascunde activitățile rău intenționate. Pe lângă încărcătorul personalizat pe care l-am menționat, este afișat și un server WinVNC. Cu aceasta este posibil să obțineți controlul de la distanță al sistemelor a victimelor afectate.
La rândul său, același atacator despre care discutăm folosește un instrument despre care se crede că este proprietar, Sodamaster, și care a fost folosit cel puțin din ultimul an 2020. Acesta rulează în memoria sistemului și este echipat pentru a evita detectarea de către atacator. software de securitate instalat. Întregul set rău intenționat este, de asemenea, pregătit colectați o cantitate mare de informații de la computerul afectat . Vorbim despre date despre importanța sistemului de operare sau a proceselor care rulează. Pe lângă descărcarea și executarea diferitelor încărcături utile periculoase de pe serverul de control.
