Si de algo no nos queda duda es que VLC es uno de los mejores reproductores multimedia del mundo, así como uno de los más utilizados: es gratis, de código abierto, está disponible en un montón de plataformas (Android entre ellas), consume muy pocos recursos, es compatible con casi cualquier tipo de archivo de audio y video, tiene un montón de trucos extra y más.
Sin embargo, VLC no es perfecto y la noticia que hoy nos atañe no especialmente positiva. Los hackers chinos están enviando virus a través de VLC, así que ten cuidado porque podrías ser una de sus víctimas.
Los atacantes utilizan la exportación de VLC para cargar archivos maliciosos en Windows
Un informe publicado por Symantec detalla que el grupo de hackers chinos Cicada (también llamados Stone Panda o APT10) está usando VLC para distribuir malware en Windows. La empresa tiene registros que van desde mediados de 2021 hasta la actualidad, con casos detectados en países como Estados Unidos, Canadá, Turquía, Israel, Italia, India y otros más.
Según el informe, Cicada emplea la función de exportación de VLC para cargar un archivo DLL malicioso sin ser detectado. Su método de ejecución es diferente al de malwares como Joker, Xenomorph, Pegasus y FFDroider, pues no hace uso de archivos o lanzadores propios. A esta técnica se le conoce como «carga lateral de DLL» (DLL sideload) y utiliza aplicaciones legítimas (como VLC) para ocultar la ejecución de archivos peligrosos que de otra forma serían detectados.
Para llegar hasta este punto, los cibercriminales primero explotan una vulnerabilidad de Microsoft Exchange (sin parchear) que les permite aprovechar la función de VLC. Una vez cargado el DLL con malware, los atacantes pueden crear un servidor de acceso remoto WinVNC para tomar control sobre el ordenador infectado y hacer lo que les plazca, desde borrar o cifrar archivos, hasta espiar lo que haces mediante otras herramientas. Esto último parece ser el propósito de este ataque.
Cicada, el grupo de hackers chinos que estaría detrás de estos ataques de espionaje usando VLC
Cicada es conocido por ser un grupo que principalmente se enfoca en el espionaje a organizaciones gubernamentales, de defensa, ONGs, empresas de telecomunicaciones y farmacéuticas, aunque también hay registros de ataques a sectores educativos, legales y grupos religiosos.
¿Cómo es que Symantec sabe que este grupo? Aunque no se han atribuido el ataque, la mayoría de los ordenadores infectados forman partes de redes relacionadas con lo que listamos arriba. Además, han hecho uso de Sodamaster, una herramienta de hackeo que ayuda a enmascarar ataques que está ampliamente ligada a este grupo de hackers.
Por último, se sabe que los atacantes emplean otras herramientas como NBTScan, WMIExec o Mimikatz, que pueden utilizarse en el espionaje de redes, robo de credenciales y ejecución de acciones malintencionadas dentro de Windows. Una vez más, otra evidencia que guarda relación con el actuar de Cicada.
VLC para Android y Android TV parece estar a salvo, pero no te confíes
Ahora bien, de momento Symantec no ha informado nada sobre el uso de VLC para cargar malware en otros sistemas operativos diferentes a Windows. Es decir, el reproductor VLC para Android y Android TV no debería estar afectado por este problema, así que tu dispositivo debe estar a salvo. No obstante, te invitamos a no confiarte, pues la propia Symantec advirtió que desconoce el alcance total de este ataque.
¿Qué puedes hacer al respecto para mejorar la seguridad en tus dispositivos? Hace poco hicimos una lista de cosas que puedes hacer para mejorar tu privacidad en Android. Aparte, también tenemos algunos trucos para proteger tu Android TV de virus y malware. Échales un ojo a ambos artículos, que seguramente te serán muy útiles.