Los hackers chinos usan VLC Media Player para lanzar CyberAttacks

Los investigadores descubrieron que los piratas informáticos chinos han estado utilizando VLC Media Player para lanzar ataques de ciberseguridad.

El Grupo Hacker, supuestamente afiliado al gobierno chino, utiliza el popular reproductor de video para implementar malware en la computadora con destino.

Estas actividades se han rastreado a un grupo de hackers llamado Cicada, que también es conocido por una larga lista de otros nombres, como Menupass, Panda Panda, Apt10, Potasio y APOLLO ROJO. Cicada ha existido durante mucho tiempo, al menos desde 2006.

El malware desplegado a las víctimas del ataque abre la puerta para los hackers para obtener todo tipo de información. Puede otorgar conocimientos sobre todo sobre el sistema, scure a través de los procesos de ejecución y descargue los archivos en comando, solo ampliando el potencial de uso indebido. Tales ataques sigilosos no son infrecuentes, pero este parece haber tenido lugar a gran escala.

Esta campaña, que involucra al popular reproductor de medios VLC, parece que se ha iniciado con fines de espionaje. Según un informe por parte de la computadora de Bleeping, los objetivos involucran una amplia gama de entidades involucradas en actividades legales, gubernamentales o religiosas. Las organizaciones no gubernamentales también han sido atacadas. Lo que quizás sea más asombroso es que esta actividad se ha extendido a entidades en al menos tres continentes.

Algunos de los países destinatarios incluyen los EE.UU., Hong Kong, India, Italia y Canadá. Sorprendentemente, solo una de las víctimas era de Japón. El grupo de Cicada ha dirigido anteriormente a Japón por sus ciberatías muchas veces en el pasado. Una vez que los atacantes obtuvieron acceso a la máquina de la víctima, pudieron mantenerlo hasta nueve meses.

Aunque VLC fue explotado para implementar malware, el archivo en sí estaba limpio. Parece que una versión segura de VLC se combinó con un archivo DLL malicioso ubicado en el lugar como las funciones de exportación del reproductor de medios. Esto se conoce como carga lateral DLL, y CICIADA no está solo en el uso de esta técnica para cargar malware en programas que de otra manera están seguros.

El cargador personalizado utilizado por CICIADA aparentemente se ha visto en ataques anteriores que también estaban relacionados con el equipo de hackers. Para poder acceder primero a las redes que se violaron, se explotó un servidor de Microsoft Exchange. Además, un servidor WINVNC se implementó como un medio para establecer el control remoto sobre los sistemas afectados por el malware oculto.

Hay más en la explotación de VLC que primero se encuentra con el ojo. Además de eso, se usó una explotación llamada Sodamáster, que se ejecuta sigilosamente en la memoria del sistema sin requerir ningún archivo. Es capaz de evitar la detección y puede retrasar la ejecución al inicio.

Aunque estos ataques son ciertamente peligrosos, no todos los usuarios de VLC deben preocuparse. El primer jugador de medios, se demostró que estaba limpio, y los hackers parecen tener un enfoque muy objetivo, centrado en ciertas entidades. Sin embargo, siempre es importante mantenerse al tanto de la seguridad donde se refiere a las PC.

La información proviene de Symantec y fue reportada por computadora Bleeping. Los investigadores de Symantec descubrieron que estos ataques de ciberseguridad pueden haber comenzado a mediados de 2021 y continuaron teniendo lugar en febrero de 2022. Sin embargo, es totalmente posible que esta amenaza continúe hasta el día de hoy.