Pesquisadores descobriram que hackers chineses estão usando o VLC Media Player para lançar ataques de segurança cibernética.
O grupo de hackers, supostamente afiliado ao governo chinês, usa o popular player de vídeo para implantar malware no computador alvo.
Essas atividades foram atribuídas a um grupo de hackers chamado Cicada, que também é conhecido por uma longa lista de outros nomes, como menuPass, Stone Panda, APT10, Potassium e Red Apollo. A cigarra existe há muito tempo – pelo menos desde 2006.
O malware implantado nas vítimas do ataque abre a porta para os hackers obterem todo tipo de informação. Ele pode fornecer conhecimento sobre tudo sobre o sistema, vasculhar processos em execução e baixar arquivos sob comando, apenas ampliando o potencial de uso indevido. Tais ataques furtivos não são incomuns, mas este parece ter ocorrido em grande escala.
Esta campanha, envolvendo o popular VLC Media Player, parece ter sido iniciada para fins de espionagem. De acordo com um relatório da Bleeping Computer, os alvos envolvem uma ampla gama de entidades envolvidas em atividades legais, governamentais ou religiosas. Organizações não governamentais também foram alvos. O que talvez seja mais surpreendente é que essa atividade se espalhou para entidades em pelo menos três continentes.
Alguns dos países-alvo incluem os EUA, Hong Kong, Índia, Itália e Canadá. Surpreendentemente, apenas uma das vítimas era do Japão. O grupo Cicada já atacou o Japão por seus ataques cibernéticos muitas vezes no passado. Depois que os invasores obtiveram acesso à máquina da vítima, eles puderam mantê-la por até nove meses.
Embora o VLC tenha sido explorado para implantar malware, o arquivo em si estava limpo. Parece que uma versão segura do VLC foi combinada com um arquivo DLL malicioso localizado no local como as funções de exportação do media player. Isso é conhecido como carregamento lateral de DLL, e o Cicada não está sozinho ao usar essa técnica para fazer upload de malware em programas que são seguros.
O carregador personalizado usado pelo Cicada aparentemente foi visto em ataques anteriores que também foram conectados à equipe de hackers. Para primeiro obter acesso às redes que foram violadas, um servidor Microsoft Exchange foi explorado. Além disso, um servidor WinVNC foi implantado como meio de estabelecer controle remoto sobre os sistemas afetados pelo malware oculto.
Há mais na exploração do VLC do que parece à primeira vista. Além disso, foi usado um exploit chamado Sodamaster, que roda furtivamente na memória do sistema sem exigir nenhum arquivo. É capaz de evitar a detecção e pode atrasar a execução na inicialização.
Embora esses ataques sejam certamente perigosos, nem todos os usuários do VLC precisam se preocupar. O próprio media player provou ser limpo, e os hackers parecem ter uma abordagem muito direcionada, centrada em certas entidades. No entanto, é sempre importante manter a segurança no que diz respeito aos PCs.
A informação é da Symantec e foi relatada por Computador apitando. Os pesquisadores da Symantec descobriram que esses ataques de segurança cibernética podem ter começado em meados de 2021 e continuaram ocorrendo em fevereiro de 2022. No entanto, é perfeitamente possível que essa ameaça continue até hoje.
Recomendações dos editores