Home Argomenti Vari Falso Filezilla ruba le credenziali dei siti FTP

Falso Filezilla ruba le credenziali dei siti FTP PDF Stampa
Giovedì 30 Gennaio 2014 14:55

Scaricare da Torrent è sempre un rischio, anche per il software open source o gratuito.

Sul blog di Avast è apparsa ieri una notizia che riporta l'esistenza di un "doppione cattivo" di Filezilla, il popolare client FTP.

Ben due versioni di questo client sono state manipolate, la v3.7.3 e la più vecchia 3.5.3, per nascondere un malware tra le piege del codice. A prima vista è quasi impossibile distinguere le release "malevole" da quelle ufficiali. L'unica differenza visibile immediatamente, ma alla quale non è facile far caso, è che quelle false fanno uso dell'installer Nullsoft in versione 2.46.3-Unicode, mentre i pacchetti di installazione ufficiali usano l'installer aggiornato alla precedente v2.45-Unicode.

La cosa ancora più sconcertante è che i client fasulli funzionano perfettamente! L'utente finale non è assolutamente in grado di discernere comportamenti strani, chiavi di registro sospette o cambiamenti nella GUI dell'applicazione!

Non è facile capire se la versione che stiamo usando sia geniuna o no. Bisogna andare a verificare i dettagli di compilazione...

L'unico sospetto può venire dalle dimensioni dell'eseguibile FileZilla.exe che è leggermente più piccolo dell'originale (parliamo di 6,8 MB) e della presenza di due librerie DLL chiamate ibgcc_sdw2-1.dll  e libstdc++-6.dll, che ovviamente mancano nella versione ufficiale.

Andando a scavare, si nota come per costruire le due versioni ricompilate, gli artefici abbiano utilizzato una versione più vecchia di SQLite/GnuTLS e di come abbiano disabilitato la possibilità di aggiornare il client, probabilmente per evitare che l'eseguibile venga sovrascritto perdendo così le sue capacità nascoste. A un'analisi approfondita da parte del team di Avast, il codice dell'eseguibile contiene una funzione che ruba i dettagli delle login FTP e le invia agli autori in modo semplice e pulito, senza allertare nessun firewall e in una singola soluzione tramite FTP.

Per fortuna, pare che il malware si limiti a questa funzione e che non invii anche dati su bookmark o rubi file dal PC o dall'FTP del malcapitato utente.  I dati sono inviati ad un server che ha indirizzo IP 144.76.120.243, che si trova in Germania e che contiene tre domini: go-upload.ru (creato il 23-9-2012), aliserv2013.ru (creato il 9-9-2013), ngusto-uro.ru (creato il 19-9-2013)

I tre domini sono registrati al registrar russo Naunet.ru, che è notoriamente associato all'undeground ed allo spaccio di malware, spam e che copre tali attività illecite, nascondendo le informazioni sui contatti e ignorando le richieste di sospendere i domini illegali. Le versioni del malware sono state compilate nel Settembre 2012 (la 3.5.3) e nel medesimo mese un anno più tardi per la 3.7.3. Avast ha naturalmente aggiornato il suo database antivirus per riconoscere questi eseguibili e molti altri motori antivirus si aggiorneranno a breve a seguito di questa scoperta.

È molto probabile che i dati di login degli FTP rubati, vengano poi usati dagli attaccanti in modo diretto o vendendoli nel mercato undeground, al fine di utilizzare gli FTP o i server di ignari utenti come ulteriore veicolo di malware o spam. Il tutto senza contare che una volta ottenuto l'accesso, potrebbero tranquillamente scaricare tutti i dati di un sito web.

I due gemelli cattivi di FileZilla si trovano in download presso torrent o siti non ufficiali, quindi il nostro consiglio è quello di premurarsi di scaricare ed installare software solo dalla fonte ufficiale e dai suoi link sicuri. Ancora di più considerando che il programma è totalmente gratuito, in quanto frutto di una iniziativa opensource.

VIA

miglior sito

Ultimo aggiornamento Giovedì 30 Gennaio 2014 15:03
 
Altri Articoli :

» Addio a Ralph H. Baer, padre dei videogiochi

// // Il 6 dicembre si è spento Ralph H. Baer, l'inventore della prima console da molti ritenuto il padre dei videogiochi. Aveva inventato anche la Light Gun, la prima pistola ottica, e disegnò il gioco elettronico Simon.Se oggi giocate con le...

» Comprimere File Video per Trasferirli su Smartphone o Tablet

// // Lo spazio di archiviazione sul proprio telefono o tablet è solitamente troppo limitato per sprecarlo riempendolo di file video di grandi dimensioni che andrebbero ad occupare gran parte della memoria interna.Fortunatamente sono disponibili...

» Ecco come Pirate Bay organizza i propri server per evitare la polizia

// // Alla base di The Pirate Bay c'è un sistema ingegnoso macchine virtuali che consentono al servizio di funzionare in maniera del tutto "nascosta", sia per gli organi di polizia che per quanto riguarda i siti di hosting.Il team alla base di The...

» Buon compleanno Nintendo! 125 anni e non sentirli

// // Il 23 settembre Nintendo ha compiuto 125 anni. Più di un secolo di storia, per un'azienda che ha gli stessi anni della Coca Cola e della Tour Eiffel.L'azienda creatrice di Mario, Zelda, Donkey Kong e di numerosi altri titoli e personaggi...

» I siti web in continua crescita, da oggi sono più di 1 miliardo

// // La scorsa notte, italiana, il numero dei siti presenti su Internet ha superato la soglia di 1 miliardo e a certificare questo risultato straordinario è Internet Live Stats. Il primo sito venne lanciato da Tim Berners-Lee, il padre del Web,...

Aggiungi commento


Codice di sicurezza
Aggiorna