VLC è uno dei player multimediali più popolari e ciò per diverse ragioni: è disponibile gratuitamente, è open source, supporta tutti i principali sistemi operativi ed è anche poco esigente per quanto riguarda le risorse di cui ha bisogno.
Probabilmente proprio la popolarità di VLC rappresenta una delle ragioni per cui un gruppo di hacker cinesi (noto come Cicada, Stone Panda o APT10) ha deciso di scegliere questo software per diffondere sui computer Windows un malware solitamente usato per spiare governi e organizzazioni governative.
Stando a quanto viene riportato da Symantec, tra le vittime di questa campagna (che sarebbe stata avviata intorno alla metà dello scorso anno ma si è intensificata a febbraio 2022) vi sono organizzazioni (anche non governative) di vari Paesi in tutto il Mondo, Europa inclusa (vi sarebbero vittime anche in Italia).
Cosa si rischia con questo nuovo malware
Pare che in molti casi, una volta che la vittima “è caduta nella rete”, il gruppo di hacker inizialmente si limiti ad accedere alla sua rete: vengono rilevate in particolare attività sui server Microsoft Exchange e ciò suggerisce che potrebbe essere una vulnerabilità di questo software ad essere sfruttata per l’attacco.
Ottenuto con successo l’accesso ai computer delle vittime, gli hacker distribuiscono vari strumenti di controllo e gestione, inclusa la backdoor di Sodamaster. Inoltre in questa campagna gli hacker in alcuni casi rubano pure le credenziali delle vittime (ciò utilizzando una versione personalizzata di Mimikatz).
A dire dei ricercatori di Symantec, in alcuni cai gli hacker hanno trascorso fino a nove mesi sulle reti delle vittime, a conferma del fatto che ci troviamo di fronte ad una campagna di lunga durata, peraltro ancora in corso e dietro il gruppo di hacker vi potrebbe essere un ente governativo che desidera tenere sotto controllo alcune organizzazioni di altri Paesi.
Per ulteriori informazioni vi rimandiamo al post pubblicato da Symantec.