Los cibercriminales están aprovechando la popularidad del reproductor multimedia VLC para comprometer los sistemas de las organizaciones que confían en los resultados que arrojan sus búsquedas en servicios como el de Google.
VLC es un reproductor multimedia gratuito desarrollado por la fundación VideoLAN, libre y de código abierto, que en el momento de escribir esta noticia acumula cerca de 84,7 millones de descargas. Precisamente por su popularidad, los cibercriminales lo han incorporado a sus campañas para que aloje 'malware'.
Este abuso de VLC se ha detectado recientemente en el marco de una campaña dirigida contra el sistema de salud de Australia, que aprovechaba la técnica conocida como 'envenenamiento de la optimización de motores de búsqueda (SEO)' para engañar a las potenciales víctimas, como recoge la investigación de Trend Micro compartida en su blog oficial.
Esta técnica se ha empleado para posicionar en lugares prominentes de los resultados de búsqueda en Google las páginas webs maliciosas, muchas de las cuales simulan la apariencia de webs y fotos legítimos, a las que las víctimas accedían creyendo haber encontrado el documento por el que habían realizado la búsqueda.
En su lugar, y sin saberlo, descargaban un archivo comprimido malicioso que ejecutaba un javascript que habilita la comunicación con un servidor remoto desde PowerShell. En una segunda parte de la infección era cuando aparecía el abuso de VLC: uno de los archivos ejecutables maliciosos adoptaba el nombre de este reproductor, que funcionaba como tal de forma legítima siendo también un módulo de Cobalt Strike, permitiendo actividades ilegítimas en el equipo infectado.
«Los resultados del motor de búsqueda pueden estar contaminados para descargar archivos maliciosos por envenenamiento de SEO y las herramientas legítimas pueden realizar un comportamiento malicioso porque se ha abusado de ellas», concluyen los investigadores de Trend Micro.