VLC è stato sfruttato per distribuire malware, anche in Italia

VLC è stato sfruttato per distribuire malware, anche in Italia
Alessandro Nodari
Alessandro Nodari

Tutti amiamo VLC, il lettore multimediale multipiattaforma open-source, ma questa volta sembra che la sua popolarità sia stata sfruttata per fini malevoli. 

Alcuni ricercatori di sicurezza informatica presso Symantec, una divisione di Broadcom, hanno infatti scoperto che un gruppo hacker conosciuto sotto il nome di Cicada (tra gli altri), direttamente associato al governo cinese, ha usato per anni proprio VLC come mezzo per una campagna di spionaggio.

Gli obiettivi: diverse entità coinvolte in attività governative (nel settore delle telecomunicazioni, legale e farmaceutico) e religiose, nonché organizzazioni non governative (ONG), in Italia, Stati Uniti, Canada, Hong Kong, Turchia, Israele, India, Montenegro e Giappone.

Ma come funziona l'attacco, che potrebbe essere tutt'ora in corso?

La porta di accesso potrebbe essere un server Microsoft Exchange. GLi hacker avrebbe sfruttato una vulnerabilità nota su dispositvi senza patch, che gli avrebbe permesso di distribuire un malware con l'aiuto appunto di VLC nella sua versione originale. Grazie all'utilizzo di una liberia dll fatta caricare da VLC il gruppo è riuscito a ottenere il controllo del dispositivo remoto tramite il server WinVNC, oppure anche una backdoor (chiamata Sodamaster) per eludere il rilevamento.

In questo modo gli attaccanti hanno potuto raccogliere dati sul sistema, controllare i processi in esecuzione e scaricare ed eseguire vari payload dal server di comando e controllo. Tutto per spiare e rubare brevetti da consegnare, almeno in alcuni casi, al governo cinese. Come detto, la minaccia potrebbe essere ancora attiva e negli Stati Uniti sono state arrestate due persone.

Si capisce quindi che la gravità della falla (offerta ricordiamo dalla versione lecita di VLC) è notevole, ma allo stesso tempo difficilmente abbia potuto colpire computer di comuni utenti, vista la necessità di sfruttare (sembrerebbe) una falla di Exchange.

Indicatori di compromissione

Symantec ha diffuso gli Indicatori di compromissione, stringhe di codice che potrebbero essere presenti nei file di sistema e di registro. Se avete software Symantec sul vostro PC potrebbe individuare la presenza del malware proprio facendo un check sulle stringhe che vi riportiamo qui di seguito:

  • 01b610e8ffcb8fd85f2d682b8a364cad2033c8104014df83988bc3ddfac8e6ec
  • 056c0628be2435f2b2031b3287726eac38c94d1e7f7aa986969baa09468043b1
  • 062ce400f522f90909ed5c4783c5e9c60b63c09272e2ddde3d13e748a528fa88
  • 0b452f7051a74a1d4a544c0004b121635c15f80122dc6be54db660ceb2264d6f
  • 0ec48b297dd1b0d6c3ddd15ab63f405191d7a849049feedfa7e44096c6f9d42a
  • 20fc3cf1afcad9e6f19e9abebfc9daf374909801d874c3d276b913f12d6230ec
  • 2317d3e14ab214f06ae38a729524646971e21b398eda15cc9deb8b00b231abc3
  • 2417da3adebd446b9fcb8b896adb14ea495a4d923e3655e5033f78d8e648fcc8
  • 37f56127226ce96af501c8d805e76156ca6b87da1ba1bb5d227100912f6c52d9
  • 3aa54e7d99b69a81c8b25ab57aeb971644ed0a206743c9e51a80ec1852f03663
  • 3ff2d6954a6b62afb7499e1e317af64502570181fd49ac5a74e2f7947e2e89db
  • 4f6a768841595293146ca04f879efa988e4e95ce0f2bc299cb669fea55e78b65
  • 5269db6b19a1d758c75e58ee9bbf2f8fd684cfedbfe712d5b0182d7bbd3a1690
  • 5bc68df582c86c884b563b15057cc223f2e9bc1022ebb297e32a9a7e3036228b
  • 6b4692029f05489ecda10e11cfacfc3b19097856b88647d3695f3bdc7dd83ce9
  • 7b581c0305c78f28bad60028c63e852dc34fc9e28f39e4b0af73d80c1d9680c9
  • 83030f299a776114878bcd2ade585d97836ef4ddb6943cb796be2c88bcb83a83
  • 90a03dabfc4e56a12cc3bac5cbe991db044b900a01ec341803c864506e467ffa
  • 9917a2213f114e87745867e5fea6717efd727d7c08fdc851969224be2f0e019b
  • 9b5f9ff82ed238bcbd83628ed3ec84988dc05f81cec9e45a512fbd2c8ac45c33
  • adfe177ade7d9bfe4df251a69678102aec1104a4ba9f73032dd90aba76d8bdd9
  • b76fde584f87c88bdd21fab613335ce7fc05788aa4bb3191d1517ec16ef4d11a
  • ce45af43dd2af52d6034e981515474147802efdfe036e00078fee29a01694fd6
  • d461347388ccf0c2008332a1674885a41f70b94b2263bddef44e796d3b1b43b5
  • df993dca434c3cd2da94b6a90b0ae1650d9c95ea1d5f6a5267aca640d8c6d00e
  • ee46e714660f7652502d5b3633fae0c08c8018f51cfb56a487afd58d04dd551a
  • fe33fdd5a63fee62362c9db329dde11080a0152e513ef0e6f680286a6a7b243f
  • 88[.]198.101[.]58
  • 168[.]100.8[.]38
Mostra i commenti