Med tiden ökar mängden personuppgifter som vi lagrar och använder på våra datorer. Därför måste vi ta hand om säkerheten som tillhandahålls av de program vi installerar så att det inte finns några läckor eller säkerhetsbrister, vilket har hänt nu med VLC.
Säkert många av er vet redan att vi här hänvisar till en av de mest älskade och använda multimediaspelarna i världen. Detta är en produkt som har fått förtroende hos de flesta genom åren och vi hittar den på de flesta stationära datorer och mobila enheter. Men vad vi vet nu har säkerhetsforskare upptäckt en skadlig kampanj som direkt påverkar denna programvara.
Specifikt menar vi att en serie hackare associerade med den kinesiska regeringen är använder VLC för att starta en anpassad skadlig programvara . Till en början tyder allt på att detta är i spionagesyfte. Vi säger detta eftersom det initialt riktar sig till olika enheter relaterade till statliga, juridiska och religiösa aktiviteter. På samma sätt har spår av attacker via appen setts mot icke-statliga organisationer på minst tre kontinenter.
Det är värt att nämna att den skadliga aktiviteten har tillskrivits en välkänd grupp som kallar sig Cicada. Vi pratar om en angripare som redan har använt andra namn tidigare och som varit aktiv sedan 2006. Samtidigt är det intressant att veta att de första rörelserna i detta avseende upptäcktes i mitten av 2021, men han har fortsatt att vara aktiv. till nutid.
VLC, offer för spionprogram
För att ge oss en uppfattning om allt detta finns det bevis för att den första åtkomsten till några av de komprometterade nätverken gjordes genom en Microsoft Exchange-server . Senare upptäckte experter från säkerhetsföretaget Symantec att angriparen, efter att ha fått denna åtkomst, utplacerade en anpassad lastare på andra komprometterade system med hjälp av den tidigare nämnda VLC .
Som nu har upptäckts använder angriparen en ren version av den populära mediaspelaren. Den innehåller en skadlig DLL-fil som lagras i samma sökväg som mediaspelarens exportfunktioner. Detta är en teknik som kallas DLL sidladdning och används ofta för att ladda skadlig programvara i legitima processer och dölja skadlig aktivitet. Förutom den anpassade laddaren som vi nämnde, visas också en WinVNC-server. Med detta är det möjligt att få fjärrkontroll av systemen av de drabbade offren.
I sin tur använder samma angripare som vi diskuterar ett verktyg som tros vara proprietärt, Sodamaster, och som har använts sedan åtminstone det senaste året 2020. Det körs i systemminnet och är utrustat för att undvika upptäckt av angriparen. säkerhetsprogramvara installerad. Hela den skadliga uppsättningen är också beredd att samla in en stor mängd information från den drabbade datorn . Vi pratar om data om betydelsen av operativsystemet eller de pågående processerna. Förutom att ladda ner och köra olika farliga nyttolaster från kontrollservern.