Symantec afferma che gli hacker hanno distribuito una versione modificata di VLC e l’hanno sfruttata per attacchi di malware

La scorsa settimana, le notizie hanno iniziato a circolare intorno al fatto che VLC veniva abusato dagli hacker per iniettare malware. Il problema è emerso dopo che Symantec ha pubblicato un rapporto sul suo blog Security Threat Intelligence.

Gli hacker hanno distribuito una versione modificata di VLC per lanciare un attacco malware

La società di proprietà di Broadcom, che produce Norton Antivirus, ha rivelato che un gruppo di hacker, che sostiene essere affiliato al governo cinese, stava conducendo campagne di spionaggio informatico contro organizzazioni di tutto il mondo.

Symantec afferma che la campagna ha preso di mira principalmente le vittime nelle istituzioni legate al governo o nelle ONG nei settori dell’istruzione e della religione, delle telecomunicazioni, legale e farmaceutico. La campagna di attacco malware, chiamata Cicada o APT10, è stata monitorata per la prima volta l’anno scorso. Era attivo nel febbraio 2022 e potrebbe essere ancora in corso. Gli aggressori prendono di mira le vittime tramite Microsoft Exchange Server in distribuzioni di sistema senza patch, per ottenere l’accesso alle loro macchine. Gli hacker utilizzano vari strumenti oltre a un caricatore personalizzato e una backdoor chiamata Sodamaster.

Gli hacker hanno distribuito una versione modificata di VLC per utilizzarla per attivare un caricatore di malware personalizzato

Uno di questi strumenti è una versione modificata del popolare lettore multimediale open source, VLC. Il blog Security Threat Intelligence di Symantec cita la seguente dichiarazione.

“Gli aggressori sfruttano anche il legittimo VLC Media Player avviando un caricatore personalizzato tramite la funzione di esportazione VLC e utilizzano lo strumento WinVNC per il controllo remoto delle macchine delle vittime”.

La formulazione di questa affermazione è piuttosto confusa ed è stata interpretata erroneamente da alcuni blog, che hanno scritto che VLC è vulnerabile e che gli hacker lo stanno utilizzando per lanciare attacchi di malware. Questo non è corretto, VLC non è il motivo degli attacchi di malware come sostengono questi siti Web. Il resto della relazione dovrebbe essere contestualizzato.

La seconda sezione del rapporto (evidenziata nell’immagine) menziona che gli aggressori avevano bisogno di accedere alle macchine delle vittime, prima di poter lanciare l’attacco malware. Lo ha confermato un membro del Threat Hunter Team di Symantec, in una dichiarazione rilasciata a Bleeping Computer . Hanno detto che alcuni hacker hanno preso la versione pulita di VLC, hanno aggiunto un file DLL dannoso e lo hanno distribuito, noto anche come caricamento laterale della DLL. Questo file si trova nella stessa cartella del percorso della funzione di esportazione e viene utilizzato dagli aggressori per avviare un caricatore di malware personalizzato.

Quindi è evidente che ci sono almeno due diversi requisiti affinché questo attacco avvenga: un sistema compromesso e una versione modificata di VLC (tra gli altri strumenti che sono stati utilizzati).

VLC è sicuro da usare?

Sì. Finché scarichi VLC dal sito Web ufficiale (o da un sito affidabile), il tuo computer dovrebbe essere al sicuro dai malware, perché non contiene il file DLL dannoso utilizzato in questi attacchi.

Quando scarichi un programma da un sito di terze parti e quel sito Web ha incorporato di nascosto alcuni file nel pacchetto, non è più una versione ufficiale dello sviluppatore. Diventa una versione modificata che potrebbe essere potenzialmente dannosa. Quando tali file vengono diffusi, le persone che li utilizzano sono a rischio di attacchi. Gli hacker utilizzano vari trucchi come il malvertising, ad esempio utilizzano l’icona di un programma popolare per convincere le persone a pensare che stanno scaricando il file originale, mentre in realtà stanno scaricando un malware che potrebbe infettare il loro sistema e potrebbe persino diffondersi ad altri utenti.

Se sei preoccupato che un programma che hai possa essere stato manomesso, potresti voler caricare il programma di installazione su un servizio online come VirusTotal , per confermare che sia sicuro da usare. Un’altra opzione è verificare se i valori hash per vedere se il checksum corrisponde a quello della versione ufficiale. ad es. VLC elenca i suoi valori hash sul suo sito di archivio . Mantieni aggiornati il ​​tuo sistema operativo e il tuo software antivirus e usa un ad blocker come uBlock Origin per ridurre al minimo le possibilità di attacchi di malware.