Los piratas informáticos chinos explotan el reproductor de video VLC para lanzar malware peligroso

Los investigadores de seguridad informática han descubierto la existencia de una campaña maliciosa de larga duración por parte de piratas informáticos asociados con el gobierno chino. Obviamente, explotan VLC Media Player para propagar malware peligroso en la PC de sus víctimas.

Créditos: Pixabay

Durante estos largos años de carrera, el reproductor multimedia VLC Media Player ha sido secuestrado a su pesar en numerosas ocasiones por piratas. En 2017, por ejemplo, los piratas informáticos engañaron a los usuarios de VLC para que crearan subtítulos maliciosos. En 2019, una falla de seguridad crítica permitió a un atacante ejecutar código arbitrario de forma remota.

Sin embargo, los investigadores de seguridad informática de Symantec han descubierto la existencia de una campaña maliciosa de larga duración por parte de piratas informáticos con vínculos con el gobierno chino. Este es el grupo Cicada., que ha estado operando durante casi 15 años. El inicio de esta operación se detectó a mediados de 2021 y todavía estaba activa en febrero de 2022. Los expertos de Symantec creen que todavía está en curso actualmente.

Obviamente, esta campaña se lanzó en fines de espionaje diversas entidades involucradas en acciones gubernamentales, legales y religiosas, así como ONG. Según los investigadores, el acceso a las redes objetivo se realizó a través de un servidor de Microsoft Exchange gracias a una vulnerabilidad conocida pero sin parchear en las máquinas en cuestión.

Lea también: VLC 4.0: VideoLAN está preparando una revisión completa de la interfaz para 2021

Los piratas informáticos usan VLC para propagar malware

Después de obtener acceso a las PC seleccionadas, el atacante implementó una versión modificada de VLC con un archivo DLL malicioso. Esta técnica, conocida como Carga local de DLLha sido utilizado durante muchos años por piratas informáticos para cargar malware en procesos legítimos para ocultar actividades maliciosas.

En pocas palabras, algunos comandos son comunes a muchas aplicaciones. Sin embargo, para facilitar el desarrollo de aplicaciones, estos comandos se almacenan en bibliotecas. Cuando una aplicación necesita un comando en particular, lo recoge de la librería correspondiente.

Con esta técnica, los piratas se contentan con sustituir la buena librería por una falsa, que sin embargo responde al mismo nombre ya las mismas órdenes. Pero aquí, la función asociada a un comando se modifica para lanzar un comando totalmente diferente. En este caso específico, propagar malware a través del reproductor multimedia VLC. En concreto sería el malware Sodamaster, que permite recopilar detalles del sistema, buscar procesos en ejecución y descargar/ejecutar varios payloads de forma remota.

Fuente: Computadora sangrante

Leave a Reply

Your email address will not be published.