Passer au contenu

Des pirates chinois utilisent VLC pour déployer un malware à grande échelle

La célèbre application vidéo VLC sert de « porteur sain » à un malware associé aux autorités chinoises. Une campagne qui vise des ONG et des gouvernements sur au moins trois continents, selon Symantec.

Le groupe de pirates connu sous le nom de Cicada (ils peuvent aussi s’appeler menuPass, Stone Panda, Potassium, APT10, ou encore Red Apollo) mène depuis l’été 2021 une campagne de cyberattaques qui était toujours active en février de cette année. Selon les chercheurs en sécurité de Symantec, ces attaques se poursuivent encore aujourd’hui.

Des victimes partout dans le monde

La campagne vise plusieurs entités gouvernementales sur trois continents, des ONG, ainsi que des groupes religieux et des entreprises œuvrant dans les secteurs de la santé et des télécoms. Cicada, dont plusieurs membres ont été accusés aux États-Unis de collusion avec les autorités chinoises, cible généralement des sociétés japonaises, mais le groupe a décidé de viser plus large cette fois. Les victimes sont présentes en Italie, aux États-Unis, au Canada, en Israel…

Les hackers ont utilisé une version saine de VLC accolée à un fichier DLL malveillant, une bibliothèque à laquelle le logiciel fait appel pour certaines de ses fonctions (ici, des fonctions d’export). La technique, connue sous le terme « DLL sideloading », est très populaire parmi les pirates pour infiltrer des malwares via un processus d’installation standard et qui ne pose aucun danger en règle générale.

Cicada a également exploité cette technique pour créer une porte dérobée, baptisée Sodamaster, sur les réseaux compromis. Cette backdoor échappe aux processus habituels de surveillance des systèmes d’exploitation. En plus de cette porte dérobée, le malware récupère des informations sur le système, il télécharge et active aussi diverses opérations lancées par le serveur des pirates.

Dans l’histoire, VLC est tout aussi victime que les cibles de Cicada. L’éditeur ne peut pas faire grand chose contre le déploiement de cette attaque.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode