Hackers do grupo “Cicada”, supostamente associado ao governo chinês, podem ser os responsáveis por uma campanha de malware utilizando o VLC Media Player, um reprodutor de mídia popular entre usuários do Windows e Android. Os incidentes foram descobertos pela Symantec e divulgados pelo BleepingComputer na terça-feira (05).

A reportagem explica que os invasores modificaram o software básico do VLC Media Player para criar uma versão spyware. O ataque é chamado de “DLL side-loading” (“carregamento externo de DLL”, em tradução livre), caracterizado por instalar malware através de processos legítimos — como o VLC — para ocultar as atividades dos hackers.

Os pesquisadores afirmam ter evidências de que a campanha iniciou em redes afetadas dos servidores Microsoft Exchange em 2021 — época que coincide com relatos de espionagem de clientes do Outlook. Na ocasião, cerca de 250 mil pessoas tiveram sua privacidade violada. Há também indícios de que os ataques se estenderam até fevereiro de 2022.

Em um dos casos relatados pelos especialistas, o malware foi utilizado para executar o Sodamaster, um backdoor ou “porta de acesso” ao sistema em que, de forma legítima, somente o administrador tem acesso. Relacionado ao Cicada, o malware pode roubar dados do sistema e espionar os usuários com muita discrição.

Uma característica desse backdoor é sua execução na memória RAM, ou seja, não grava arquivos na unidade de armazenamento, o que dificulta sua detecção. O malware também comprime e criptografa arquivos dos usuários para facilitar sua transferência sigilosa aos hackers, além de permitir acesso a outros dispositivos conectados à rede.

A Symantec nota que essa campanha é relativamente extensa, visto que foi descoberta em várias regiões, incluindo a América do Norte (Canadá e Estados Unidos), Europa (Itália e Montenegro) e Ásia (Hong Kong, Índia, Israel e Turquia). Por ora, não há informações sobre possíveis prejuízos causados pela investida.