Se dijo que los ciberdelincuentes supuestamente vinculados al gobierno chino estaban usando VLC Media Player para distribuir malware en masa a través de una campaña maliciosa que duró varios meses. La información fue divulgada el martes (05) por investigadores de Symantec.
Según los expertos de la empresa de ciberseguridad, los atacantes reemplazan un archivo DLL legítimo del popular reproductor multimedia con una versión modificada. Cuando el programa infectado se ejecuta en el dispositivo de la víctima, el agente malicioso actúa y puede llevar a cabo diversas actividades ilícitas.
El tipo de malware instalado desde el VLC modificado depende de si los piratas informáticos chinos lo alcanzaron o no. En actividades recientes, los investigadores identificaron una instalación de puerta trasera de Sodamaster, que solo puede ejecutarse en RAM, es capaz de robar datos y espiar a los usuarios sin ser notado.
VLC es un reproductor muy popular y tiene versiones para diferentes plataformas.
VLC es un reproductor muy popular y tiene versiones para diferentes plataformas.
Fuente: Videolan/Divulgación
Los investigadores asociaron este registro con el grupo Cicada, también conocido por los nombres en clave Stone Panda, APT10, menuPass, Potasio y Red Apollo. La organización, que solía estar relacionada con el estado chino, ha estado involucrada en varios ciberataques desde 2006.
Según el informe, esta nueva campaña liderada por Cicada, que podría haberse aprovechado de fallas en Microsoft Exchange para distribuir o infectar VLC, aparentemente tiene como objetivo espiar a las organizaciones no gubernamentales (ONG) en los campos de la educación y la religión. Entidades gubernamentales y empresas de los sectores legal, farmacéutico y de telecomunicaciones también están en São Paulo.
Las víctimas están repartidas por tres continentes, con sede en países como Estados Unidos, Italia, Montenegro, Israel, Hong Kong, Turquía, Canadá e India. También se identificó un objetivo en Japón, un territorio frecuentemente atacado por estos invasores.
El grupo, que ahora tiene menos de dos miembros acusados de robar información confidencial de empresas estadounidenses para pasarla a la administración china, logró infiltrarse en las redes de algunas de las víctimas hasta por nueve meses.
