Desenvolvedor usa falha em site de companhia aérea para achar mala trocadaLapsus$ faz mais uma vítima e vaza 70 GB da Globant, gigante do software
A abordagem é inteligente. Ao usar o VLC, os invasores não só tiram proveito da reputação do software como também dificultam o rastreamento do malware por antivírus ou outras ferramentas de segurança.
Um arquivo DLL malicioso
O truque usado é o de DLL side-loading (algo como “carregamento lateral de DLL”). Ao BleepingComputer, a Symantec explicou que os invasores recorrem a uma versão limpa do VLC Media Player para Windows, mas trocam um arquivo DLL usado pelo reprodutor para exportação de mídia por um arquivo do mesmo tipo, mas contaminado. Quando entra em ação, esse arquivo baixa e executa um malware no computador da vítima. Qual? Depende do alvo. A investigação aponta que, na atividade mais recente, o VLC foi usado para “chamar” o backdoor Sodamaster.
O que é backdoor em computação?
Esse malware tem relação com um grupo hacker chamado Cicada (mas que usa outros nomes, como menuPass, Stone Panda, Potassium, APT10 e Red Apollo) e é de difícil detecção por, entre outros fatores, ser executado apenas na memória RAM (o Sodamaster não grava arquivos). O Sodamaster pode coletar dados do sistema, procurar processos ativos e executar várias outras ações de espionagem, o que não é nenhuma surpresa, afinal, esse é o “ramo de atuação” do Cicada.
Grupo hacker faz vítimas em vários setores
Estima-se que o grupo existe pelo menos desde 2006. O Cicada já teria feito vítimas em países como Estados Unidos, Canadá, Índia, Itália e, principalmente, Japão. Os alvos envolvem organizações governamentais, religiosas, educacionais, ONGs e assim por diante. No final de 2018, dois hackers chineses do grupo foram acusados por autoridades dos Estados Unidos de ajudar o Ministério da Segurança do Estado da China a capturar informações confidenciais de agências governamentais e empresas de tecnologia americanas. A ação atual, que envolve o VLC, teria tido início em meados de 2021, mas ainda era detectada em fevereiro de 2022, o que faz alguns analistas de segurança desconfiarem de que ela ainda pode estar em execução. Só não ficou claro como os hackers distribuíram o VLC Media Player comprometido. Uma das hipóteses é a de que o grupo teria explorado falhas não corrigidas no Microsoft Exchange para implantar o arquivo DLL malicioso, mas há poucas informações sobre isso. Na dúvida, fica valendo a recomendação de sempre baixar o VLC a partir do site oficial e, claro, seguir a velha orientação de manter sistema operacional e aplicativos atualizados.
