استفاده هکرها از نرم‌افزار VLC پلیر برای حملات سایبری

هکرها نسخه تغییریافته‌ای از VLC را منتشر و از آن برای حملات بدافزاری استفاده کردند

هفته گذشته، خبر رسید که هکرها از VLC برای حملات هکری از نوع تزریق کد بدافزار استفاده کرده‌اند. این مشکل زمانی آشکار شد که شرکت امنیت سایبری Symantec، گزارش مرتبطی در بلاگ «هوش تهدید سایبری» (Security Threat Intelligence) منتشر کرد. این شرکت مالک برند Broadcom است که آنتی‌ویروس‌های نورتون را می‌سازد.

Symantec اعلام کرد که گروهی از هکرها، که به ادعای این شرکت به دولت چین وابسته هستند، کمپین‌هایی به منظور جاسوسی سایبری از سازمان‌های مختلف در سرتاسر دنیا ترتیب داده‌اند.

به گفته Symantec اکثر هدف‌های این کمپین، سازمان‌های دولتی، وابسته به دولت یا سازمان‌های مردم-نهاد (NGOها) فعال در حوزه‌های آموزش، مذهب، تلکام، قانون و قضا و داروسازی بوده‌اند.

این کمپین حمله سایبری که Cicada یا APT10 نام‌گذاری شده، اولین کمپین حمله سایبری شناسایی شده در سال گذشته بود. این کمپین در فوریه ۲۰۲۲، مجددا فعال شد و ممکن است که همچنان ادامه داشته باشد. در این کمپین، مهاجمان از طریق سرورهای مایکروسافت اکسچینج (Microsoft Exchange) در سیستم‌های پچ نشده برای دسترسی به این سیستم‌ها استفاده می‌کنند. آن‌ها، گذشته از لودکننده سفارشی‌سازی شده و یک بک‌دور به نام Sodamaster، ابزارهای مختلفی را به کار می‌گیرند.

هکرها، نسخه‌ای تغییریافته از VLC را منتشر می‌کنند تا با استفاده از آن، یک لودکننده سفارشی‌سازی شده بدافزار را روی سیستم‌های هدف اجرا کنند

یکی از ابزارهای مورد استفاده در این کمپین جاسوسی سایبری، نسخه تغییریافته‌ای از مدیا پلیر محبوب VLC است. به گفته بلاگ هوش تهدید سایبری شرکت Symantec «مهاجمان یک نسخه از مدیا پلیر VLC را نیز با اجرای یک لودکننده سفارشی‌سازی شده از طریق قابلیت Export این مدیا پلیر، اکسپلویت می‌کنند و با استفاده از ابزار WinVNC، کنترل سیستم قربانی را در دست می‌گیرند».

این جمله‌بندی شرکت Symantec، کمی گیج کننده است و بنابراین، خیلی از بلاگ‌ها، به اشتباه از آن برداشت کردند که مدیا پلیر VLC آسیب‌پذیر است و هکرها از آن برای اجرای حملات بدافزاری استفاده می‌کنند. این برداشت اصلا درست نیست و نمی‌توان VLC را دلیل حملات بدافزاری مشابه دانست. برای درک بهتر این حمله بهتر است که به مابقی گزارش، مراجعه کنیم.

بخش دوم این گزارش که در عکس بالا هایلایت شده است، اشاره می‌کند که مهاجمان پیش از اجرای حمله بدافزاری باید به سیستم قربانی دسترسی داشته باشند. تیم Threat Hunter  شرکت Symantec نیز در یک بیانیه که در وبسایت Bleeping Computer منتشر شده، این موضوع را تأیید کرده است. به گفته آن‌ها، بعضی از هکرها پس از اضافه کردن یک فایل DLL بدافزاری به نسخه اصلی نرم‌افزار مدیا پلیر VLC، آن را منتشر کرده‌اند. این فایل در همان فولدر مسیر قابلیت Export نرم‌افزار قرار داده شده است و هکرها از آن برای اجرای لودکننده سفارشی‌سازی شده بدافزار، استفاده کرده‌اند.

بنابراین، مشخص است که برای اجرای این حمله وجود دو شرط الزامی است:

• یک سیستم آسیب‌پذیر که هکرها به آن نفوذ کرده باشند
• نسخه تغییر یافته VLC (به همراه دیگر ابزارهایی که در اینجا مورد اشاره قرا نگرفته‌اند)

آیا می‌توانیم با خیال راحت از VLC استفاده کنیم؟

بله، این نرم‌افزار کاملا امن است. تا زمانی که نسخه رسمی VLC را از سایت مرجع آن یا یک وبسایت معتبر دیگر دانلود کنید، هکرها نمی‌توانند از این نرم‌افزار برای حمله به کامپیوتر شما استفاده کنند زیرا فایل DLL بدافزاری که در بالا به آن اشاره کردیم، در نسخه اصلی وجود ندارد.

به یاد داشته باشید که نسخه‌های کرک شده نرم‌افزارها، نسخه‌های رسمی منتشر شده توسط وبسایت توسعه‌دهنده نیستند و می‌توانند حامل فایل‌های بدافزاری باشند. وقتی چنین فایل‌هایی توزیع می‌شوند، افرادی که آن‌ها را نصب می‌کنند، در معرض حملات سایبری قرار می‌گیرند.

امروزه هکرها از روش‌های مختلفی مثل malvertising (استفاده از آیکون یک نرم‌افزار محبوب برای متقاعد کردن کاربران به دانلود و نصب فایل بدافزاری و سپس، انتشار آن بین کاربران دیگر) استفاده می‌کنند. بنابراین، باید حتما نرم‌افزارهای مورد نیاز خود را از منابع کاملا معتبر دانلود کنید.