Malware udające znanego klienta FTP krąży w internecie

31 stycznia, 2014

28 stycznia bieżącego roku, twórcy aplikacji open source FTP FileZilla ogłosili, że fałszywe wersje programu krążą po internecie znane pod nazwą StealZilla. Kompilacja ta zawiera w sobie złośliwe oprogramowanie, które kradnie uwierzytelnienia list dziennika zdarzeń serwera i wysyła je do atakującego.

StealZilla jest rozpowszechniana przez wiele stron stron internetowych. Jeśli niedawno pobraliście FileZille, sprawdzcie właściwości programu. Na zdjęciu poniżej znajduje się porównanie.

Poniżej sumy kontrolne SHA1:

FileZilla InstallerFileZilla_3.7.3_win32-setup.exe:

fd1d51a3070159df19886207133d95b9d53a7106

StealZilla v3.5.3 Installer:

dee74e8116e461e0482a4fef938b03c99e980e21

StealZilla v3.7.3 Installer:

f6438315b5a0dc8354b7f1834a1a91aa5c0f09cc

StealZilla FileZilla.exe v3.5.3:

749d1c8866b7c0d014b005344e8b6783e53e8d3c

StealZilla FileZilla.exe v3.7.3:

9c54e9666c40604e60e69e83337f7ce5de811557

Jak działa StealZilla

Na pierwszy rzut oka, StealZilla niewiele się różni od FileZilli i działa prawie w identyczny sposób. Prawie, bowiem w tle działają „dodatkowe procesy niespodzianki”, które wysyłają informacje o połączeniu FTP użytkownika do hakera. Owe informacje są wysyłane tylko raz, ale w następstwie hakerzy mogą ominąć zaporę i wykonać dowolną liczbę szkodliwych działań na komputerze. Jest to bardzo subtelny sposób działania malware. Blocker Emsisofta wykrywa go bez problemu.

filezilla about

stealzilla about
Fałszywa Filezilla

Jak dotąd stwierdzono, że program wysyła skradzione dane uwierzytelniające do serwera FTP w Niemczech (IP 144.76.120.24), ale domeny związane z tym IP są obsługiwane przez Naunet.ru, rosyjskiego rejestratora domen. 3 znane domeny to: go-upload.ru, aliserv2013.ru i ngusto-uro.ru. Narzędzie WHOIS nie dostarcza dodatkowych informacji.

Podczas pobierania dowolnej aplikacji open source, ważne jest, aby używać tylko znanych i zaufanych stron pośredniczących w dystrybucji takiego oprogramowania.

źródło: Emsisoft

Czy ten artykuł był pomocny?

Oceniono: 0 razy

Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Picture of Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

guest
0 komentarzy
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Zapisz się na newsletter

Informacje o cyberbezpieczeństwie prosto na skrzynkę pocztową!

Dodatkowo otrzymasz poradnik „Jak bezpiecznie funkcjonować w cyfrowym świecie”

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]