Malwarem napadený FTP klient FileZilla zasílá uložená hesla útočníkům
Prostřednictvím internetových úložišť a podvodných webových stránek byly uživatelům nabídnuty verze softwaru FileZilla infikované malwarem. Konkrétně se jednalo o vydání s kódovým označením 3.7.3 a 3.5.3, jejichž kód byl upraven tak, aby v tichosti poskytl útočníkům uložené přístupové údaje uživatele.
Jedna z webových stránek, na nichž se napadený software nacházel. Oficiální stránky jsou jistější volbou.
Metoda podvodníků se ukázala jako velmi efektivní a těžko odhalitelná. Na obrázku níže si můžete povšimnout, že verze 3.5.3 byla vygenerována v září roku 2012 a odhalena byla ve větším měřítku až nyní. Software totiž na první pohled funguje úplně normálně a všechny funkce pracují správně. Podezřelá aktivita se odehrává na pozadí, kde dochází ke komunikaci aplikace se serverem útočníka, na nějž jsou odesílána ukradená uživatelská data v zašifrované podobě. Ta mohou útočníci použít třeba k získání citlivých informací, nebo dalšímu šíření škodlivého softwaru.
Tvůrci oblíbeného softwaru nabádají uživatele ke zvýšené opatrnosti - „Pro vyvarování se rizikům doporučujeme pro stažení aplikace využívat oficiálních stránek, případně stránek našich partnerů a dalších ověřených open source projektů.“
Log z komunikace napadené aplikace se vzdáleným serverem
Jak poznat, že je aplikace pravá?
Jediný rozdíl mezi oficiální a infikovanou aplikací je v odlišných velikostech souboru filezilla.exe a dvojici přidaných dll knihoven, které zde být nemají. V informacích o aplikaci „About FileZilla“ si lze všimnout použití starších verzí knihoven SQLite/GnuTLS, viz obrázek níže. Podezřelým jednáním mohou být i problémy při pokusu o update, čímž se infikovaný software brání případnému přeinstalování.
Přidané knihovny:
- ibgcc_s_dw2-1.dll
- libstdc++-6.dll
Pokud zjistíte, že jednu z infikovaných verzí využíváte, proveďte její odstranění, zkontrolujte počítač na další případné hrozby antivirovým softwarem a co nejrychleji změňte přístupové údaje a používaná hesla. Opatrnosti není nikdy dost. Schválně, máme zde někoho, komu se infikovaná verze dostala do rukou?
Filezilla-project, Detailní rozbor hrozby - Avast