Des pirates chinois utilisent le lecteur multimédia VLC pour lancer des cyberattaques

Les chercheurs ont découvert que des pirates chinois utilisaient VLC Media Player pour lancer des attaques de cybersécurité.

Le groupe de pirates, prétendument affilié au gouvernement chinois, utilise le populaire lecteur vidéo pour déployer des logiciels malveillants sur l'ordinateur ciblé.

Un grand écran affichant un avertissement de violation de sécurité.
Dépôt de stock/Getty Images

Ces activités ont été retracées jusqu'à un groupe de hackers appelé Cicada, qui est également connu sous une longue liste d'autres noms, tels que menuPass, Stone Panda, APT10, Potassium et Red Apollo. Cigale existe depuis longtemps – au moins depuis 2006.

Le logiciel malveillant déployé sur les victimes de l'attaque ouvre la porte aux pirates pour obtenir toutes sortes d'informations. Il peut accorder des connaissances sur tout ce qui concerne le système, parcourir les processus en cours d'exécution et télécharger des fichiers sur commande, ne faisant qu'élargir le potentiel d'utilisation abusive. De telles attaques furtives ne sont pas rares , mais celle-ci semble avoir eu lieu à grande échelle.

Cette campagne, impliquant le populaire VLC Media Player, semble avoir été lancée à des fins d'espionnage. Selon un rapport de Bleeping Computer, les cibles impliquent un large éventail d'entités impliquées dans des activités légales, gouvernementales ou religieuses. Les organisations non gouvernementales ont également été ciblées. Ce qui est peut-être plus stupéfiant, c'est que cette activité s'est étendue à des entités sur au moins trois continents.

Certains des pays ciblés comprennent les États-Unis, Hong Kong, l'Inde, l'Italie et le Canada. Étonnamment, une seule des victimes venait du Japon. Le groupe Cicada a déjà ciblé le Japon pour ses cyberattaques à plusieurs reprises dans le passé. Une fois que les attaquants ont eu accès à la machine de la victime, ils ont pu la maintenir jusqu'à neuf mois.

VLC Media Player.

Bien que VLC ait été exploité pour déployer des logiciels malveillants, le fichier lui-même était propre. Il semble qu'une version sécurisée de VLC ait été associée à un fichier DLL malveillant situé à la place des fonctions d'exportation du lecteur multimédia. C'est ce qu'on appelle le chargement latéral de DLL, et Cicada n'est pas le seul à utiliser cette technique pour télécharger des logiciels malveillants dans des programmes qui sont par ailleurs sécurisés.

Le chargeur personnalisé utilisé par Cicada a apparemment été vu lors d'attaques précédentes qui étaient également liées à l'équipe de hackers. Afin d'accéder d'abord aux réseaux piratés, un serveur Microsoft Exchange a été exploité. De plus, un serveur WinVNC a été déployé comme moyen d'établir un contrôle à distance sur les systèmes affectés par le logiciel malveillant caché.

Il y a plus dans l'exploit VLC qu'il n'y paraît. En plus de cela, un exploit appelé Sodamaster a été utilisé, qui s'exécute furtivement dans la mémoire système sans nécessiter de fichiers. Il est capable d'éviter la détection et peut retarder l'exécution au démarrage.

Bien que ces attaques soient certainement dangereuses, tous les utilisateurs de VLC n'ont pas à s'inquiéter. Le lecteur multimédia lui-même s'est avéré propre et les pirates semblent avoir une approche très ciblée, centrée sur certaines entités. Cependant, il est toujours important de rester au top de la sécurité en ce qui concerne les PC.

L'information provient de Symantec et a été rapportée par Bleeping Computer . Les chercheurs de Symantec ont découvert que ces attaques de cybersécurité pouvaient avoir commencé à la mi-2021 et se poursuivre en février 2022. Cependant, il est tout à fait possible que cette menace perdure à ce jour.