Seguro que muchos de vosotros ya sabéis que aquí nos referimos a uno de los reproductores multimedia más queridos y utilizados en todo el mundo. Este es un producto que se ha ido ganando la confianza de la mayoría con los años y lo encontramos en la mayoría de los equipos de sobremesa y dispositivos móviles.
Sin embargo y por lo que hemos sabido ahora, unos investigadores de seguridad han descubierto una campaña maliciosa que afecta directamente a este software. En concreto nos referimos a que una serie de hackers asociados con el gobierno chino, están utilizando VLC para lanzar un cargador de malware personalizado. En un principio todo hace indicar que esta tiene fines de espionaje. Decimos esto porque inicialmente se dirige a varias entidades relacionadas con actividades gubernamentales, legales y religiosas.
De igual modo se han visto vestigios de ataques a través de la aplicación a organizaciones no gubernamentales en al menos tres continentes.Cabe mencionar que la actividad maliciosa se ha atribuido a un conocido grupo que se hace llamar Cicada. Hablamos de un atacante que en el pasado ya ha utilizado otros nombres y que está activo desde el pasado año 2006. Al mismo tiempo es interesante saber que los primeros movimientos en este sentido se detectaron a mediados del pasado año 2021, pero se ha mantenido activo hasta la actualidad.
-VLC, víctima de un malware de espionaje
Para que nos hagamos una idea de todo ello, hay pruebas de que el acceso inicial a algunas de las redes vulneradas se realizó a través de un servidor de Microsoft Exchange. Más adelante los expertos de la empresa de seguridad Symantec, descubrieron que, tras obtener ese acceso, el atacante desplegó un cargador personalizado en otros sistemas comprometidos con la ayuda del mencionado VLC.
Tal y como se ha descubierto en estos instantes, el atacante utiliza una versión limpia del popular reproductor multimedia. En el mismo incluye un archivo DLL malicioso guardado en la misma ruta que las funciones de exportación del reproductor multimedia. Esta es una técnica que se conoce como carga lateral de DLL y es muy utilizada para cargar malware en procesos legítimos y ocultar la actividad maliciosa.
Además del cargador personalizado que os comentamos, también se despliega un servidor WinVNC. Con este se logra obtener el control remoto de los sistemas de las víctimas afectadas. A su vez este mismo atacante que os comentamos utiliza una herramienta que se cree que es propietaria, Sodamaster, y se usa desde al menos el pasado año 2020.
Esta se ejecuta en la memoria del sistema y está equipada para evadir la detección por parte del software de seguridad instalado. Todo el conjunto malicioso igualmente está preparado para recopilar una gran cantidad de información del equipo afectado. Hablamos de datos de la importancia del sistema operativo o los procesos en ejecución. Además de descargar y ejecutar varias cargas peligrosas desde el servidor de control.