Des chercheurs en sécurité informatique ont découvert l'existence d'une campagne malveillante de longue haleine menée par des pirates associés au gouvernement chinois. Ils exploitent visiblement VLC Media Player pour diffuser de dangereux malwares sur le PC de leurs victimes.

Durant ces longues années de carrière, le lecteur multimédia VLC Media Player a été détourné malgré lui à de nombreuses reprises par des pirates. En 2017 par exemple, des pirates avaient piégé les utilisateurs de VLC en créant des sous-titres malveillants. En 2019, une faille de sécurité critique permettait à un attaquant d'exécuter du code arbitraire à distance.

Or, les chercheurs en sécurité informatique de Symantec ont découvert l'existence d'une campagne malveillante de longue haleine menée par des pirates en lien avec le gouvernement chinois. Il s'agit du groupe Cicada, qui opère déjà depuis bientôt plus de 15 ans. Le début de cette opération a été repéré à la mi-2021 et était toujours active en février 2022. Les experts de Symantec estiment qu'elle est toujours en cours actuellement.

Visiblement, cette campagne a été lancée à des fins d'espionnage de diverses entités impliquées dans des actions gouvernementales, juridiques et religieuses ainsi que des ONG. Selon les dires des chercheurs, l'accès aux réseaux visés s'est fait par le biais d'un serveur Microsoft Exchange grâce à une vulnérabilité connue, mais non-corrigée sur les machines en question.

À lire également : VLC 4.0 – VideoLAN prépare une refonte complète de l’interface pour 2021

Des pirates exploitent VLC pour diffuser des malwares

Après avoir obtenu l'accès aux PC ciblés, l'attaquant a déployé une version modifiée de VLC avec un fichier DLL malveillant. Cette technique, connue sous le nom de chargement latéral de DLL, est utilisée depuis de nombreuses années par les pirates pour charger des maliciels dans des processus légitimes afin de dissimuler l'activité malveillante.

Pour faire simple, certains commandes sont communes à de nombreuses applications. Or pour faciliter le développement des applis, ces commandes sont stockées dans des librairies. Lorsqu'un appli a besoin d'une commande en particulier, elle vient la chercher dans la libraire correspondante.

Via cette technique, les pirates se contentent en réalité de remplacer la bonne libraire par une fausse, qui répond toutefois au même nom et aux mêmes commandes. Mais ici, la fonction associée à une commande est modifiée de sorte à lancer une commande totalement différente. Dans ce cas précis, diffuser des malwares via le lecteur multimédia VLC. Plus précisément il s'agirait du malware Sodamaster, qui permet de collecter des détails système, rechercher des processus en cours d'exécution et télécharger/exécuter diverses charges utiles à distance.

Source : Bleeding Computer