هفته گذشته، خبر رسید که هکرها از VLC برای حملات هکری از نوع تزریق کد بدافزار استفاده کردهاند. این مشکل زمانی آشکار شد که شرکت امنیت سایبری Symantec، گزارش مرتبطی در بلاگ «هوش تهدید سایبری» (Security Threat Intelligence) منتشر کرد. این شرکت مالک برند Broadcom است که آنتیویروسهای نورتون را میسازد.
Symantec اعلام کرد که گروهی از هکرها، که به ادعای این شرکت به دولت چین وابسته هستند، کمپینهایی به منظور جاسوسی سایبری از سازمانهای مختلف در سرتاسر دنیا ترتیب دادهاند.
به گفته Symantec اکثر هدفهای این کمپین، سازمانهای دولتی، وابسته به دولت یا سازمانهای مردم-نهاد (NGOها) فعال در حوزههای آموزش، مذهب، تلکام، قانون و قضا و داروسازی بودهاند.
این کمپین حمله سایبری که Cicada یا APT10 نامگذاری شده، اولین کمپین حمله سایبری شناسایی شده در سال گذشته بود. این کمپین در فوریه ۲۰۲۲، مجددا فعال شد و ممکن است که همچنان ادامه داشته باشد. در این کمپین، مهاجمان از طریق سرورهای مایکروسافت اکسچینج (Microsoft Exchange) در سیستمهای پچ نشده برای دسترسی به این سیستمها استفاده میکنند. آنها، گذشته از لودکننده سفارشیسازی شده و یک بکدور به نام Sodamaster، ابزارهای مختلفی را به کار میگیرند.
یکی از ابزارهای مورد استفاده در این کمپین جاسوسی سایبری، نسخه تغییریافتهای از مدیا پلیر محبوب VLC است. به گفته بلاگ هوش تهدید سایبری شرکت Symantec «مهاجمان یک نسخه از مدیا پلیر VLC را نیز با اجرای یک لودکننده سفارشیسازی شده از طریق قابلیت Export این مدیا پلیر، اکسپلویت میکنند و با استفاده از ابزار WinVNC، کنترل سیستم قربانی را در دست میگیرند».
این جملهبندی شرکت Symantec، کمی گیج کننده است و بنابراین، خیلی از بلاگها، به اشتباه از آن برداشت کردند که مدیا پلیر VLC آسیبپذیر است و هکرها از آن برای اجرای حملات بدافزاری استفاده میکنند. این برداشت اصلا درست نیست و نمیتوان VLC را دلیل حملات بدافزاری مشابه دانست. برای درک بهتر این حمله بهتر است که به مابقی گزارش، مراجعه کنیم.
بخش دوم این گزارش که در عکس بالا هایلایت شده است، اشاره میکند که مهاجمان پیش از اجرای حمله بدافزاری باید به سیستم قربانی دسترسی داشته باشند. تیم Threat Hunter شرکت Symantec نیز در یک بیانیه که در وبسایت Bleeping Computer منتشر شده، این موضوع را تأیید کرده است. به گفته آنها، بعضی از هکرها پس از اضافه کردن یک فایل DLL بدافزاری به نسخه اصلی نرمافزار مدیا پلیر VLC، آن را منتشر کردهاند. این فایل در همان فولدر مسیر قابلیت Export نرمافزار قرار داده شده است و هکرها از آن برای اجرای لودکننده سفارشیسازی شده بدافزار، استفاده کردهاند.
بنابراین، مشخص است که برای اجرای این حمله وجود دو شرط الزامی است:
بله، این نرمافزار کاملا امن است. تا زمانی که نسخه رسمی VLC را از سایت مرجع آن یا یک وبسایت معتبر دیگر دانلود کنید، هکرها نمیتوانند از این نرمافزار برای حمله به کامپیوتر شما استفاده کنند زیرا فایل DLL بدافزاری که در بالا به آن اشاره کردیم، در نسخه اصلی وجود ندارد.
به یاد داشته باشید که نسخههای کرک شده نرمافزارها، نسخههای رسمی منتشر شده توسط وبسایت توسعهدهنده نیستند و میتوانند حامل فایلهای بدافزاری باشند. وقتی چنین فایلهایی توزیع میشوند، افرادی که آنها را نصب میکنند، در معرض حملات سایبری قرار میگیرند.
امروزه هکرها از روشهای مختلفی مثل malvertising (استفاده از آیکون یک نرمافزار محبوب برای متقاعد کردن کاربران به دانلود و نصب فایل بدافزاری و سپس، انتشار آن بین کاربران دیگر) استفاده میکنند. بنابراین، باید حتما نرمافزارهای مورد نیاز خود را از منابع کاملا معتبر دانلود کنید.