VLC Media Player sfruttato dagli hacker per distribuire malware

Alzi la mano chi almeno una volta nella vita non ha utilizzato VLC Media Player sul proprio PC. Ebbene, dopo questo articolo forse non lo utilizzerai più dato che è stato appena scoperto che il popolare lettore multimediale viene utilizzato come vettore per trasportare codici dannosi, meglio conosciuti come malware. I ricercatori di sicurezza hanno portato alla luce questa orribile campagna dannosa che è probabilmente associata al governo cinese.

VLC Media Player viene utilizzato per distribuire un caricatore di malware personalizzato

Secondo i rapporti, la campagna dannosa viene utilizzata da hacker collegati al governo cinese che prendono di mira attività legali, governative, religiose e organizzazioni non governative. Il rapporto aggiunge che gli attacchi sono orchestrati dal gruppo di hacker Cicada (noto anche come APT10 e Stone Panda).

Gli attacchi di hacking si concentrano principalmente in almeno tre continenti con paesi importanti come India, Turchia, Stati Uniti, Canada, Hong Kong, Israele, Italia e Montenegro. I ricercatori hanno aggiunto che Cicada non vede l’ora di espandere i suoi orizzonti dato che ha preso di mira principalmente il Giappone.

La campagna dannosa sostenuta da Cicada

Secondo i rapporti, Cicada ha utilizzato VLC Media Player come copertura per portare a termine la sua campagna dannosa iniziata a metà del 2021. Probabilmente è ancora attivo. Gli hacker sono riusciti a fare breccia nel server Microsoft Exchange dopo aver sfruttato una vulnerabilità sui sistemi senza patch.

Leggi anche:

• Gli hacker prediligono Telegram per rubare criptovalute

Il modus operandi della campagna afferma che dopo aver ottenuto l’accesso a una macchina, viene distribuito un caricatore personalizzato utilizzando il lettore multimediale VLC. Qui, gli hacker hanno già allacciato VLC con un file DLL dannoso personalizzato incorporato nelle sue funzioni di esportazione che porterebbe malware ai sistemi delle vittime.

Gli hacker utilizzano anche la backdoor di Sodamaster sui sistemi interessati che sono stati uno strumento esclusivo utilizzato dal gruppo Cicada.

Sembra che Cicada abbia ampliato le sue aree di interesse poiché di solito si rivolgerebbe a sanità, aerospazio, finanza, biotecnologia, energia, settori governativi e società giapponesi collegate al mare, tuttavia, ora si è espansa per coprire almeno tre continenti come menzionato sopra.

Vittime

Le vittime di questa campagna sembrano essere principalmente istituzioni o ONG legate al governo, con alcune di queste ONG che lavorano nei campi dell’istruzione e della religione. Vi sono state anche vittime nei settori delle telecomunicazioni, legale e farmaceutico.

Le vittime sono sparse in un ampio numero di regioni tra cui Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro e Italia. C’è anche una sola vittima in Giappone, il che è degno di nota a causa della precedente forte attenzione di Cicada sulle società collegate al Giappone.

Gli aggressori hanno trascorso ben nove mesi sulle reti di alcune vittime.

Le vittime prese di mira, i vari strumenti utilizzati in questa campagna e ciò che sappiamo dell’attività passata di Cicada indicano tutti che l’obiettivo più probabile di questa campagna è lo spionaggio. L’attività della cicala è stata collegata da funzionari del governo degli Stati Uniti al governo cinese nel 2018.

Una novità?

Sono anni che si vocifera che il file .exe di VLC per Windows contenesse un virus ma i più hanno sempre ignorato queste dichiarazioni. Ora forse nessuno utilizzerà più il software ma magari, il danno è già stato fatto.

Fonte

Ti potrebbe interessare:

• VLC: come migliorare la qualità dello streaming IPTV