Alerta: VLC Media Player a ser utilizado por hackers Chineses para espalhar malware
6 Abril, 2022Hackers Chineses utilizam o VLC para infectar computadores
Há muito que o VLC Media Player tem sido um alvo altamente apetecível, e muitos pela sua grande legião de fãs. Por exemplo, em 2017, um grupo de hackers enganaram os utilizadores do VLC para que criassem legendas maliciosas. Em 2019, uma falha crítica de segurança permitiu que um invasor executasse código arbitrário remotamente.
No entanto, os especialistas da Symantec descobriram a existência de uma campanha maliciosa de longa data, operada por hackers, e com ligações ao chinês. Estamos a falar do grupo Cicada, que já actua há quase 15 anos. O início desta operação foi detectado em meados de 2021 e ainda estava activo em Fevereiro de 2022. Os especialistas da Symantec acreditam que ainda está em andamento.
Obviamente, esta campanha foi lançada com o objectivo de espiar diversas entidades envolvidas em acções governamentais, jurídicas e religiosas, bem como ONGs. Segundo os pesquisadores, o acesso às redes visadas foi feito através de um servidor Microsoft Exchange, graças a uma vulnerabilidade conhecida, mas não corrigida, nas máquinas em questão.
Depois de obter acesso aos PCs visados, o invasor implantou uma versão modificada do VLC com um ficheiro DLL malicioso. Essa técnica, conhecida como DLL sideloading, é usada há muitos anos por hackers para carregar malware em processos legítimos para ocultar actividades maliciosas.
Simplificando, alguns comandos são comuns a muitas aplicações, no entanto, para facilitar o desenvolvimento de aplicações, esses comandos são armazenados em bibliotecas. Quando uma aplicação precisa de um comando específico, ele o pega na livraria correspondente.
Usando esta técnica, os piratas contentam-se em substituir a boa livraria por uma falsa, que, no entanto, responde ao mesmo nome e aos mesmos comandos. Mas aqui, a função associada a um comando é modificada para lançar um comando totalmente diferente. Neste caso específico, espalhando malware através do VLC. Especificamente, seria o malware Sodamaster, que permite recolher detalhes do sistema, procurar processos em execução e descarregar/executar várias cargas remotamente.
Joel Pinto
Fundador do Noticias e Tecnologia, e este foi o seu segundo projeto online, depois de vários anos ligado a um portal voltado para o sistema Android, onde também foi um dos seus fundadores.