VLC Media Player ‘modificado’ é usado para espalhar malwares
Cibercriminosos supostamente ligados ao governo chinês estariam utilizando o VLC Media Player para distribuir malwares em massa por meio de uma campanha maliciosa que já dura vários meses. A informação foi divulgada na terça-feira (05) por pesquisadores da Symantec.
Segundo especialistas da empresa de segurança cibernética, os invasores substituem um arquivo DLL legítimo do popular reprodutor de mídias por uma versão modificada. Quando o programa infectado é executado no dispositivo da vítima, o agente malicioso entra em ação, podendo realizar diversas atividades ilícitas.
O tipo de malware instalado a partir do VLC modificado depende do alvo atingido pelos hackers chineses. Em uma das atividades recentes, os investigadores identificaram a instalação do backdoor Sodamaster, que pode rodar apenas na memória RAM, é capaz de roubar dados e realizar a espionagem do usuário sem ser notado.
Tal registro foi associado pelos pesquisadores ao grupo Cicada, também conhecido pelos codinomes Stone Panda, APT10, menuPass, Potassium e Red Apollo. A organização, que costuma ser relacionada ao estado chinês, vem atuando em diversos ataques cibernéticos desde 2006.
Ação global
De acordo com o relatório, esta nova campanha liderada pelo Cicada, que pode ter se aproveitado de falhas no Microsoft Exchange para distribuir o VLC infectado, aparentemente se destina à espionagem de organizações não governamentais (ONGs) das áreas de educação e religião. Entidades governamentais e empresas dos setores jurídico, farmacêutico e de telecomunicações também são alvos.
As vítimas estão espalhadas por três continentes, tendo sede em países como Estados Unidos, Itália, Montenegro, Israel, Hong Kong, Turquia, Canadá e Índia. Também foi identificado um alvo no Japão, território que é frequentemente atacado por estes invasores.
O grupo, que já teve pelo menos dois integrantes acusados de roubar informações confidenciais de empresas americanas para repassá-las à administração chinesa, conseguiu se infiltrar nas redes de algumas das vítimas por até nove meses.
Fonte: Tecmundo
Publicado em: Cybersegurança