Diit.cz - Novinky a informace o hardware, software a internetu

Malwarem napadený FTP klient FileZilla zasílá uložená hesla útočníkům

Virus alert
Stahování softwaru z neznámých stránek není nejchytřejší volbou. Přesvědčit se tomu mohli uživatelé FTP klientu FileZilla, kterým infikovaná verze odcizila přístupové údaje bez toho, aby cokoli vypadalo podezřele. Jak podvodnou aplikaci identifikovat?

Prostřednictvím internetových úložišť a podvodných webových stránek byly uživatelům nabídnuty verze softwaru FileZilla infikované malwarem. Konkrétně se jednalo o vydání s kódovým označením 3.7.3 a 3.5.3, jejichž kód byl upraven tak, aby v tichosti poskytl útočníkům uložené přístupové údaje uživatele.

Jedna z webových stránek, na nichž se napadený software nacházel. Oficiální stránky jsou jistější volbou.

Metoda podvodníků se ukázala jako velmi efektivní a těžko odhalitelná. Na obrázku níže si můžete povšimnout, že verze 3.5.3 byla vygenerována v září roku 2012 a odhalena byla ve větším měřítku až nyní. Software totiž na první pohled funguje úplně normálně a všechny funkce pracují správně. Podezřelá aktivita se odehrává na pozadí, kde dochází ke komunikaci aplikace se serverem útočníka, na nějž jsou odesílána ukradená uživatelská data v zašifrované podobě. Ta mohou útočníci použít třeba k získání citlivých informací, nebo dalšímu šíření škodlivého softwaru.

Tvůrci oblíbeného softwaru nabádají uživatele ke zvýšené opatrnosti - „Pro vyvarování se rizikům doporučujeme pro stažení aplikace využívat oficiálních stránek, případně stránek našich partnerů a dalších ověřených open source projektů.

Log z komunikace napadené aplikace se vzdáleným serverem

Jak poznat, že je aplikace pravá?

Jediný rozdíl mezi oficiální a infikovanou aplikací je v odlišných velikostech souboru filezilla.exe a dvojici přidaných dll knihoven, které zde být nemají. V informacích o aplikaci „About FileZilla“ si lze všimnout použití starších verzí knihoven SQLite/GnuTLS, viz obrázek níže. Podezřelým jednáním mohou být i problémy při pokusu o update, čímž se infikovaný software brání případnému přeinstalování.

Přidané knihovny:

  • ibgcc_s_dw2-1.dll
  • libstdc++-6.dll

Pokud zjistíte, že jednu z infikovaných verzí využíváte, proveďte její odstranění, zkontrolujte počítač na další případné hrozby antivirovým softwarem a co nejrychleji změňte přístupové údaje a používaná hesla. Opatrnosti není nikdy dost. Schválně, máme zde někoho, komu se infikovaná verze dostala do rukou?

Zdroje: 

Filezilla-project, Detailní rozbor hrozby - Avast

Lukáš Voříšek (Google+)

Šéfredaktor nového technologického magazínu inSmart.cz. Autor je fanouškem revolučních technologií a projektů, jako je fotoaparát Lytro a minipočítač Raspberry Pi. Dříve přispíval do magazínů PCTuning a Stahuj. S nadějí čeká na den, kdy nebude muset sedět u klávesnice a vše obstará čip v hlavě...

více článků, blogů a informací o autorovi

Diskuse ke článku Malwarem napadený FTP klient FileZilla zasílá uložená hesla útočníkům

Úterý, 4 Únor 2014 - 21:10 | Jakub Rydlo | edit: Jsem reagoval moc rychle. Hned v dalším...
Sobota, 1 Únor 2014 - 20:16 | Asuan | hehe tak sem kouknul do About u svý nainstalovaný...
Sobota, 1 Únor 2014 - 14:59 | 0xB800 | Ať žijeme my, paranoidní ajťáci :o)
Pátek, 31 Leden 2014 - 22:08 | PV | Jenže odkud se ten hash dozvíte? Z oficiálního...
Pátek, 31 Leden 2014 - 16:24 | HKMaly | Zminil bych kontrolni hashe ... a nektere...
Pátek, 31 Leden 2014 - 16:23 | HKMaly | ... myslis jako treba ze by antiviry zacali...
Pátek, 31 Leden 2014 - 16:21 | HKMaly | Souhlasim. Hlavnim duvodem, proc je open source...
Pátek, 31 Leden 2014 - 14:25 | PV | To nestačí, co když je zrovna napaden oficiální...
Pátek, 31 Leden 2014 - 13:53 | Buchi Buchi | A odhalí to antiviry? Dá se to někde ještě...
Pátek, 31 Leden 2014 - 12:32 | Pety | Já s vámi souhlasím. Bezpečnost každého systému...

Zobrazit diskusi