VLC : le célèbre lecteur vidéo au cœur d’une campagne de cybermalveillance

Le célèbre lecteur VLC aurait été utilisé par des pirates informatiques pour distribuer des logiciels malveillants.

C’est ce qui a été révélé par une analyse réalisée par des spécialistes de la cybersécurité. Il semblerait que des hackers, collaborant avec le gouvernement chinois soient à la base de cette nouvelle campagne de malveillance en ligne.

Cet article va aussi vous intéresser : Le lecteur VLC serait-il piraté ?

Les chercheurs dont il est question sont notamment des spécialistes des spécialistes qui travaillent pour Symantec, une entreprise qui offre des services dans le domaine de la sécurité informatique.

Il faut mentionner que ce n’est pas la toute première fois que le célèbre logiciel français est utilisé par les hackers dans le but de réaliser des actes de cybercriminalité. Déjà en 2017, des criminels ont utilisé VLC Media Player dans le but de piéger les utilisateurs en distribuant des sous-titres corrompus. Un peu plus loin en 2019, à l’aide d’une faille de sécurité découverte sur l’application de lecture vidéo, les hackers pouvaient à distance exécuter des codes arbitraires dans le but de réaliser plusieurs actions malveillantes.

En 2022, toujours dans la même lancée, les pirates informatiques utilisent VLC pour répandre des logiciels malveillants. Selon ces derniers, cette campagne serait encore depuis bien longtemps même s’il est difficile de déterminer, depuis quand elle aurait commencé. On peut juste noter que les premières traces remontent depuis la seconde moitié de l’année 2021, et dans les activités en continu jusqu’en février 2022. Le groupe de cybercriminels qui serait à l’origine de cette campagne de cyber malveillance est connue sous l’appellation de Cicada, un groupe qui est reconnu avoir des affinités avec le gouvernement chinois.

On suppose que c’est une campagne de cybercriminalité qui vise essentiellement de l’espionnage. La cible seraient donc des entités gouvernementales ou des activités minées par des gouvernements particuliers ou des ONG et associations religieuses.

Selon le rapport des professionnels de Symantec, l’intrusion au réseau aurait réussi grâce à l’exploitation d’une faille de sécurité depuis le serveur de Microsoft exchange. Une faille de sécurité bien connue mais qui n’a pas été corrigée sur les machines ciblées.

Tout commence d’abord par l’accès à des appareils informatiques bien déterminés. Lorsque les cybercriminels réussissent cette première étape, il va ensuite installer sur ceux-ci, des versions modifiées du lecteur VLC, qui embarque un fichier DLL malveillant. Cette pratique est déjà connue dans le domaine de la cybercriminalité sous l’appellation de : « chargement latéral de DLL ». Elle a plusieurs fois été utilisée par les cybercriminels pour recharger des logiciels malveillants, en exploitant des processus légitime, ce qui bien évidemment leur donne l’opportunité de dissimuler leurs activités cybercriminelles. Cela s’explique notamment par le fait qu’il y a certaines commandes qui sont communes à plusieurs applications. Pourtant le développement des logiciels exige que les commandes dont il est question soient stockées dans des librairies. Dans l’exécution des tâches de l’application, celle-ci peut avoir besoin de cette commande en particulier. Elle ira donc la chercher dans la librairie concernée.

En utilisant cette technique, les cybercriminels remplacent tout simplement la librairie véritable par une fausse. Une librairie qui portent bien évidemment les mêmes non, et semble offrir les mêmes commandes.  Toutefois, tout est modifié de sorte que la commande agit différemment que la véritable à la base. Dans notre cas d’espèce, les pirates informatiques ont tout simplement s’en servir dans le but de propager des programmes malveillants. Avec un peu plus de précision et malware en particulier : « Sodamaster ». Ce dernier est connu pour être utilisé dans des campagnes de collecte illégale de données et de détail système. Il est aussi utilisé pour faire la recherche sur des processus en cours d’utilisation. Aussi télécharger et exécuter des charges à distance.

En ce moment, aucune déclaration officielle n’a été faite par les éditeurs de VLC sur la question.

Accédez maintenant à un nombre illimité de mot de passe :