Il falso Filezilla ruba i dati FTP

Spread the love

Sul?blog di Avast?? apparsa ieri una notizia che riporta l’esistenza di un “doppione cattivo” di Filezilla, il popolare client FTP.

Ben due versioni di questo client sono state manipolate, la v3.7.3 e la pi? vecchia 3.5.3, per nascondere un malware tra le piege del codice. A prima vista ??quasi impossibile distinguere le release?”malevole”?da quelle ufficiali. L’unica differenza visibile immediatamente, ma alla quale non ? facile far caso, ? che quelle false fanno uso dell’installer Nullsoft in versione 2.46.3-Unicode, mentre i pacchetti di installazione ufficiali usano l’installer aggiornato alla precedente v2.45-Unicode.

La cosa ancora pi? sconcertante ? che i client fasulli?funzionano perfettamente! L’utente finale?non ? assolutamente in grado di discernere comportamenti strani, chiavi di registro sospette o cambiamenti nella GUI dell’applicazione!

Non ? facile capire se la versione che stiamo usando sia geniuna o no. Bisogna andare a verificare i dettagli di compilazione…

L’unico sospetto pu? venire dalle dimensioni dell’eseguibile FileZilla.exe che ? leggermente pi? piccolo dell’originale (parliamo di 6,8 MB) e della?presenza di due librerie?DLL chiamate ibgcc_sdw2-1.dll? e libstdc++-6.dll, che ovviamente mancano nella versione ufficiale.

Andando a scavare, si nota come per costruire le due versioni ricompilate, gli artefici abbiano utilizzato una versione pi? vecchia di SQLite/GnuTLS e di come abbianodisabilitato la possibilit? di aggiornare il client, probabilmente per evitare che l’eseguibile venga sovrascritto perdendo cos? le sue capacit? nascoste. A?un’analisi approfondita da parte del team di Avast, il codice dell’eseguibile contiene una?funzione che ruba i dettagli delle login?FTP e le invia agli autori in modo semplice e pulito, senza allertare nessun firewall e in una singola soluzione tramite FTP.

Per fortuna, pare che?il malware si limiti a questa funzione?e che non invii anche dati su bookmark o rubi file dal PC o dall’FTP del malcapitato utente. ?I dati sono inviati ad un server che ha indirizzo IP 144.76.120.243, che si trova in Germania e che contiene tre domini:?go-upload.ru (creato il 23-9-2012),?aliserv2013.ru (creato il 9-9-2013),?ngusto-uro.ru (creato il 19-9-2013)

I tre domini sono registrati al registrar russo Naunet.ru, che ??notoriamente associato all’undeground?ed allo spaccio di malware, spam e che copre tali attivit? illecite, nascondendo le informazioni sui contatti e ignorando le richieste di sospendere i domini illegali. Le versioni del malware sono state compilate nel Settembre 2012 (la 3.5.3) e nel medesimo mese un anno pi? tardi per la 3.7.3. Avast ha naturalmente?aggiornato il suo database?antivirus per riconoscere questi eseguibili e molti altri motori antivirus si aggiorneranno a breve a seguito di questa scoperta.

Avast ha gi? aggiornato i suoi DB contro la nuova minaccia

? molto probabile che i dati di login degli FTP rubati, vengano poi usati dagli attaccanti in modo diretto o vendendoli nel mercato undeground, al fine di utilizzare gli FTP o i server di ignari utenti?come ulteriore veicolo di malware o spam. Il tutto senza contare che una volta ottenuto l’accesso, potrebbero tranquillamente scaricare tutti i dati di un sito web.

I due gemelli cattivi di FileZilla si trovano in download presso torrent o siti non ufficiali, quindi il nostro consiglio ? quello di premurarsi di?scaricare ed installare software solo dalla fonte ufficiale?e dai suoi link sicuri. Ancora di pi? considerando che il programma ? totalmente gratuito, in quanto frutto di una iniziativa opensource.

Fonte: Tomshw

Related Posts

About The Author

Add Comment