La semana pasada, comenzaron a circular noticias de que los piratas informáticos estaban abusando de VLC para inyectar malware. El problema salió a la luz después de que Symantec publicara un informe en su blog Security Threat Intelligence.

Los piratas informáticos distribuyeron una versión modificada de VLC para lanzar un ataque de malware

La empresa propiedad de Broadcom, que fabrica Norton Antivirus, reveló que un grupo de piratas informáticos, que afirma que están afiliados al gobierno chino, estaban realizando campañas de ciberespionaje dirigidas a organizaciones de todo el mundo.

Symantec dice que la campaña se dirigió principalmente a víctimas en instituciones relacionadas con el gobierno u ONG en los sectores de educación y religión, telecomunicaciones, legal y farmacéutico. La campaña de ataque de malware, llamada Cicada o APT10, se rastreó por primera vez el año pasado. Estuvo activo en febrero de 2022 y aún podría estar en curso. Los atacantes se dirigen a las víctimas a través de servidores Microsoft Exchange en implementaciones de sistemas sin parches, para obtener acceso a sus máquinas. Los piratas informáticos utilizan varias herramientas además de un cargador personalizado y una puerta trasera llamada Sodamaster.

Los piratas informáticos distribuyeron una versión modificada de VLC para usarla para activar un cargador de malware personalizado

Una de estas herramientas es una versión modificada del popular reproductor multimedia de código abierto, VLC. El blog Security Threat Intelligence de Symantec menciona la siguiente declaración.

«Los atacantes también explotan el VLC Media Player legítimo mediante el lanzamiento de un cargador personalizado a través de la función de exportación de VLC y utilizan la herramienta WinVNC para el control remoto de las máquinas de las víctimas».

La redacción de esta declaración es bastante confusa y fue malinterpretada por algunos blogs, quienes escribieron que VLC es vulnerable y que los piratas informáticos lo están utilizando para lanzar ataques de malware. Esto no es correcto, VLC no es la razón de los ataques de malware como alegan estos sitios web. El resto del informe debe tomarse en contexto.

La segunda sección del informe (resaltada en la imagen) menciona que los atacantes necesitaban acceder a las máquinas de las víctimas antes de que pudieran lanzar el ataque de malware. Esto fue confirmado por un miembro del Threat Hunter Team de Symantec, en un comunicado enviado a computadora pitido. Dijeron que algunos piratas informáticos tomaron la versión limpia de VLC, le agregaron un archivo DLL malicioso y lo distribuyeron, también conocido como carga lateral de DLL. Este archivo se encuentra en la misma carpeta que la ruta de la función de exportación y los atacantes lo utilizan para iniciar un cargador de malware personalizado.

Entonces, es evidente que hay al menos dos requisitos diferentes para que ocurra este ataque: un sistema comprometido y una versión modificada de VLC (entre las otras herramientas que se usaron).

¿Es seguro usar VLC?

Sí, lo es. Siempre que descargue VLC desde el sitio web oficial (o un sitio confiable), su computadora debe estar a salvo de malware, ya que no contiene el archivo DLL malicioso utilizado en estos ataques.

Cuando descarga un programa de un sitio de terceros, y ese sitio web ha incrustado sigilosamente algunos archivos en el paquete, ya no es un lanzamiento oficial del desarrollador. Se convierte en una versión modificada que podría ser potencialmente maliciosa. Cuando estos archivos circulan, las personas que los usan corren el riesgo de sufrir ataques. Los piratas informáticos usan varios trucos, como la publicidad maliciosa, por ejemplo, usan el ícono de un programa popular para convencer a las personas de que piensen que están descargando el archivo original, cuando en realidad están descargando un malware que podría infectar su sistema e incluso propagarse a otros usuarios.

Si le preocupa que un programa que tiene pueda haber sido manipulado, es posible que desee cargar el instalador en un servicio en línea como VirusTotal, para confirmar que es seguro de usar. Otra opción es verificar si los valores hash para ver si la suma de verificación coincide con la del lanzamiento oficial. por ejemplo, VLC enumera sus valores hash en su sitio de archivo. Mantenga su sistema operativo y software antivirus actualizados, y use un bloqueador de anuncios como uBlock Origin para minimizar las posibilidades de ataques de malware.

Por Deyanira