Hackers chineses exploram o player de vídeo VLC para lançar malware perigoso

Pesquisadores de segurança de computadores descobriram a existência de uma campanha maliciosa de longa data por hackers associados ao governo chinês. Eles obviamente exploram o VLC Media Player para espalhar malware perigoso no PC de suas vítimas.

hack de exploração vlc
Créditos: Pixabay

Durante esses longos anos de carreira, o player multimídia VLC Media Player foi sequestrado, apesar de si mesmo, em várias ocasiões por piratas. Em 2017, por exemplo, hackers enganaram os usuários do VLC para criar legendas maliciosas. Em 2019, uma falha crítica de segurança permitiu que um invasor executasse código arbitrário remotamente.

No entanto, pesquisadores de segurança de computadores da Symantec descobriram a existência de uma campanha maliciosa de longa data por hackers com links para o governo chinês. Este é o grupo Cigarra, que está em operação há quase 15 anos. O início desta operação foi detectado em meados de 2021 e ainda estava ativo em fevereiro de 2022. Os especialistas da Symantec acreditam que ainda está em andamento atualmente.

Obviamente, esta campanha foi lançada em fins de espionagem diversas entidades envolvidas em ações governamentais, jurídicas e religiosas, bem como ONGs. Segundo os pesquisadores, o acesso às redes visadas foi feito por meio de um servidor Microsoft Exchange, graças a uma vulnerabilidade conhecida, mas não corrigida, nas máquinas em questão.

Leia também: VLC 4.0 – VideoLAN está preparando uma revisão completa da interface para 2021

Hackers usam VLC para espalhar malware

Depois de obter acesso aos PCs de destino, o invasor implantou uma versão modificada do VLC com um arquivo DLL malicioso. Essa técnica, conhecida como Carregamento lateral de DLLtem sido usado por muitos anos por hackers para carregar malware em processos legítimos para ocultar atividades maliciosas.

Para simplificar, alguns comandos são comuns a muitos aplicativos. No entanto, para facilitar o desenvolvimento de aplicativos, esses comandos são armazenados em bibliotecas. Quando um aplicativo precisa de um comando específico, ele o pega na livraria correspondente.

Usando esta técnica, os piratas se contentam em substituir a boa livraria por uma falsa, que, no entanto, responde ao mesmo nome e aos mesmos comandos. Mas aqui, a função associada a um comando é modificada para lançar um comando completamente diferente. Neste caso específico, espalhando malware através do media player VLC. Especificamente, seria o malware Sodamaster, que permite coletar detalhes do sistema, procurar processos em execução e baixar/executar várias cargas remotamente.

Fonte : Computador de sangramento

Leave a Comment