Los piratas informáticos chinos utilizan el reproductor multimedia VLC para lanzar ataques cibernéticos
Los investigadores descubrieron que los piratas informáticos chinos han estado utilizando VLC Media Player para lanzar ataques de ciberseguridad.
El grupo de piratas informáticos, supuestamente afiliado al gobierno chino, utiliza el popular reproductor de video para implementar malware en la computadora objetivo.
Estas actividades se remontan a un grupo de piratas informáticos llamado Cicada, que también es conocido por una larga lista de otros nombres, como menuPass, Stone Panda, APT10, Potasio y Red Apollo. La cigarra existe desde hace mucho tiempo, al menos desde 2006.
El malware desplegado en las víctimas del ataque abre la puerta a que los hackers obtengan todo tipo de información. Puede otorgar conocimiento sobre todo lo relacionado con el sistema, rastrear procesos en ejecución y descargar archivos a pedido, solo ampliando el potencial de uso indebido. Tales ataques sigilosos no son infrecuentes , pero este parece haber tenido lugar a gran escala.
Esta campaña, que involucra al popular VLC Media Player, parece haberse iniciado con fines de espionaje. Según un informe de Bleeping Computer, los objetivos involucran una amplia gama de entidades involucradas en actividades legales, gubernamentales o religiosas. Las organizaciones no gubernamentales también han sido atacadas. Lo que quizás sea más asombroso es que esta actividad se ha extendido a entidades en al menos tres continentes.
Algunos de los países objetivo incluyen EE. UU., Hong Kong, India, Italia y Canadá. Sorprendentemente, solo una de las víctimas era de Japón. El grupo Cicada ha apuntado previamente a Japón para sus ataques cibernéticos muchas veces en el pasado. Una vez que los atacantes obtuvieron acceso a la máquina de la víctima, pudieron mantenerla durante un máximo de nueve meses.
Aunque VLC fue explotado para implementar malware, el archivo en sí estaba limpio. Parece que se combinó una versión segura de VLC con un archivo DLL malicioso ubicado en el lugar como las funciones de exportación del reproductor multimedia. Esto se conoce como carga lateral de DLL, y Cicada no es el único que utiliza esta técnica para cargar malware en programas que, por lo demás, son seguros.
El cargador personalizado utilizado por Cicada aparentemente se ha visto en ataques anteriores que también estaban conectados con el equipo de hackers. Para obtener acceso primero a las redes que fueron violadas, se explotó un servidor de Microsoft Exchange. Además, se implementó un servidor WinVNC como medio para establecer un control remoto sobre los sistemas afectados por el malware oculto.
Hay más en el exploit VLC de lo que parece a simple vista. Además de eso, se utilizó un exploit llamado Sodamaster, que se ejecuta sigilosamente en la memoria del sistema sin requerir ningún archivo. Es capaz de evitar la detección y puede retrasar la ejecución al inicio.
Aunque estos ataques son ciertamente peligrosos, no todos los usuarios de VLC deben preocuparse. Se demostró que el reproductor multimedia en sí está limpio, y los piratas informáticos parecen tener un enfoque muy específico, centrado en ciertas entidades. Sin embargo, siempre es importante estar al tanto de la seguridad en lo que respecta a las PC.
La información proviene de Symantec y fue reportada por Bleeping Computer . Los investigadores de Symantec descubrieron que estos ataques de ciberseguridad pueden haber comenzado a mediados de 2021 y continuaron en febrero de 2022. Sin embargo, es muy posible que esta amenaza continúe hasta el día de hoy.