Le lecteur multimédia préféré de tous peut renfermer des malwares dangereux

VLC
(Crédit photo: VideoLAN)

Des cybercriminels chinois exploitent actuellement VLC, le lecteur multimédia le plus populaire, pour distribuer des logiciels malveillants et espionner diverses institutions gouvernementales ou des entreprises.

Comme le rapporte BleepingComputer, le fauteur de troubles se nomme Cicada (également connu sous les alias Stone Panda et APT10). Il cible particulièrement les secteurs gouvernemental et juridique, des ONG, ainsi que certaines organisations engagées dans des "activités religieuses".

Ces organisations sont principalement situées aux États-Unis, au Canada, à Hong Kong, en Turquie, en Israël, en Inde, au Monténégro et en Europe. Le Japon étant traditionnellement le principal terrain de chasse de Cicada, les chercheurs ont l'impression que le groupe élargit aujourd’hui ses horizons.

Des attaques plus larges

Cicada semble également s'attaquer à un éventail plus large d'industries. Le groupe cible les grands noms de la santé, de la défense, de l'aérospatiale, de la finance, du maritime, de la biotechnologie ou de l'énergie.

Le logiciel malveillant, à qui l’on reconnaît une série d'attaques sévères depuis l’an dernier, n'a pas de nom. Mais les chercheurs de Symantec, qui sont à l'origine de la découverte, pensent qu'il est exploité à des fins d'espionnage.

Apparemment, le groupe de pirates, qui semble être d'origine chinoise, a utilisé une vulnérabilité connue du serveur Microsoft Exchange pour obtenir un accès initial. La campagne a commencé à la mi-2021 et pourrait être toujours en cours. 

S'adressant à Bleeping Computer, Brigid O Gorman, de Symantec, a déclaré que les hackers ont "chargé latéralement" le malware, en utilisant une version propre de VLC avec un fichier DLL malveillant dans le même chemin que les fonctions d'exportation du lecteur multimédia.

Outre le logiciel malveillant, Cicada a aussi pris le contrôle d’un serveur WinVNC, permettant de prendre la main à distance sur plusieurs appareils et de générer une porte dérobée Sodamaster.

Parmi les données que Cicada collecte avec son malware figurent les détails du système cible et ses processus actifs. Il peut également télécharger et exécuter différentes charges utiles.

Via BleepingComputer

TOPICS

Sead is a seasoned freelance journalist based in Sarajevo, Bosnia and Herzegovina. He writes about IT (cloud, IoT, 5G, VPN) and cybersecurity (ransomware, data breaches, laws and regulations). In his career, spanning more than a decade, he’s written for numerous media outlets, including Al Jazeera Balkans. He’s also held several modules on content writing for Represent Communications.