Cicada Hacking Group usa VLC para lançar ataques cibernéticos

Um grupo de pesquisadores descobriu que o popular VLC Media Player foi usado por hackers chineses para lançar ataques cibernéticos. Cicada, uma gangue de hackers que opera através de várias identidades diferentes, incluindo menu, Stone Panda, APT10, Potassium e Red Apollo, foi vinculada a essas ações. A Cicada está presente desde 2006.

O vírus que foi transmitido às vítimas permite que os hackers em uma ampla gama de dados. Ele pode fornecer o a todos os aspectos do sistema, pesquisar processos em execução e baixar arquivos sob comando, o que aumenta o potencial de abuso. Tais operações secretas não são incomuns, mas esta parece ter sido em grande escala.

Cicada Hacking Group usa VLC para lançar ataques cibernéticos

Esta campanha de espionagem, que envolve o popular VLC Media Player, parece ter começado. Os alvos incluem um amplo espectro de entidades envolvidas em atividades legais, governamentais ou religiosas, de acordo com um relatório da Bleeping Computer. Organizações não-governamentais (ONGs) também foram apontadas para o ataque. Talvez muito mais surpreendente seja o fato de que esses ataques foram estendidos a pelo menos três continentes.

Os Estados Unidos, Hong Kong, Índia, Itália e Canadá estão entre os países visados. Apenas uma das vítimas era do Japão, o que foi um pouco surpreendente. Depois de obter o ao computador da vítima, os invasores conseguiram mantê-lo funcionando por até nove meses.

O VLC foi usado para espalhar malware, mas o arquivo em si estava limpo. Parece que uma versão segura do VLC foi acoplada a um arquivo DLL malicioso no mesmo local das funções de exportação do media player. Isso é conhecido como carregamento lateral de DLL, e o Cicada não é o único que o usa para injetar malware em aplicativos seguros.

O carregador exclusivo do Cicada foi usado em ataques anteriores vinculados ao grupo de hackers. Um servidor Microsoft Exchange foi usado para obter o às redes que foram comprometidas primeiro. Além disso, um servidor WinVNC foi instalado para permitir o controle remoto dos sistemas infectados com o vírus oculto.

Além disso, foi empregado um exploit conhecido como Sodamaster, que roda silenciosamente na memória do sistema sem a necessidade de nenhum arquivo. Ele tem a capacidade de evitar a detecção e adiar a execução na inicialização.

Embora esses ataques sejam inquestionavelmente perigosos, nem todo usuário do VLC precisa se preocupar. O reprodutor de mídia foi considerado livre de vírus e os hackers parecem ter adotado uma estratégia muito direcionada, concentrando-se em determinadas organizações. Quando se trata de PCs, no entanto, é sempre crucial manter a segurança.

Verificação de saída? A política nacional de segurança cibernética enfatiza a transformação digital e a mitigação de ataques cibernéticos