sabato 1 febbraio 2014

Fake FileZilla ftp client con contenuti malware (1 febbraio)

Approfitto di una segnalazione sul Db del Blog, di un lettore, che ringrazio, 



per postare qualche dettaglio su un attuale, ma comunque on-line da mesi, fake client FTP FileZilla.

FileZilla Client e' un software libero multipiattaforma che permette il trasferimento di file in Rete attraverso il protocollo FTP. Il programma e' disponibile per GNU/Linux, Microsoft Windows, e Mac OS X. Tra i vari protocolli supportati, oltre all'FTP vi e' l'SFTP, e l'FTP su SSL/TLS. Il 10 agosto del 2007 era uno dei dodici software pi? popolari di SourceForge di tutti i tempi.(fonte Wikipedia)

Attualmente le fake versioni circolanti in rete sono quelle che funzionano in Windows.


La presenza del fake programma e' stata recentemente segnalata da Avast con dettagli sul codice e su come lo stesso si connetta a domini .RU, per inviare le credenziali di accesso al server FTP, acquisite in maniera del tutto trasparente per l'utente.
Pare infatti che il fake software funzioni correttamente e quindi non ci si possa accorgere del fatto che si sta usando una copia 'modificata' di FileZilla.

Al momento di scrivere il post risultano ancora attivi parecchi siti compromessi che propongono una fake e dettagliata pagina che permette di downloadare il fake FileZilla da diversi indirizzi web.
Le pagine che propongono il download della falsa applicazione presentano tipica struttura vista anche in casi di spam di pharmacy, distribuzione links a malware ecc.. con la presenza oltre che del link all'eseguibile anche di numerosi links ad altre pagine su differenti domini simili nei contenuti.
Ecco il dettaglio dei link presenti (puntano all'exe ed ad altre pagine fake FileZilla)


ed anche 


In questo modo si sono potuti acquisire diversi links che sono stati poi sottoposti a scansione tramite tool Autoit ottenendo



Notate anche come l'header mostri per le pagine un timestamp che risale in alcuni casi a fine 2103.
Cio' parrebbe essere in linea con le date di compilazione dell'eseguibile che parrebbero risalire per una versione malware FileZilla addirittura al 2012.


Si tratta  di pagine ospitate sui piu' diversi siti compromessi (uno riporta IP thai)
Ecco il dettaglio degli IP di riferimento delle fake pagine


Questo invece un dettaglio delle pagine proposte dal layout curato e che varia da fake sito a fake sito FileZilla.






Per quanto si riferisce ad una analisi VT, attualmente il riconoscimento risulta abbastanza esteso, ed i principali software AV rivelano i contenuti malevoli.



Da notare come anche in questo caso alcuni degli eseguibili parrebbero essere stati sottoposti a VT ed analizzati da parecchio tempo.



Il fatto che la notizia della presenza on-line del fake client FileZilla sia maggiormente diffusa negli ultimi giorni, ma anche che le date di riferimento di creazione dell'eseguibile,  delle pagine fake che lo propongono e delle prime analisi VT, siano riferite al 2013, potrebbe significare che il malware attualmente potrebbe essere molto diffuso tra chi utilizza FTP.

Se si considera che il protocollo FTP e', ad esempio, utilizzato per l'amministrazione di contenuti WEB, e' chiaro che potrebbero essere numerose le credenziali di accesso acquisite da chi propone il falso FileZilla.

Come sempre, per evitare di scaricare copie non originali e contraffatte di qualunque software, e non solo di FileZilla, vale la regola di downloadare i programmi solo dal sito legittimo del produttore (verificando nei dettagli che non si tratti di fake sito (vedi es.URL ed IP del sito) ed evitare di scaricare eseguibili da links proposti in mail o da torrent o attraverso programmi di file sharing.

Per chi volesse ulteriori dettagli QUESTO il link al sito di AVAST e QUI un post in lingua italiana sempre sul fake FileZilla.

Edgar

Ricordo che per chi volesse segnalare casi di phishing, distribuzione malware, siti dai contenuti dubbi ed hacking e' sempre disponibile il form cliccando QUI.
Nel limite del tempo a disposizione  i casi piu' interessanti saranno oggetto di un post di analisi pubblicato sul blog.

Nessun commento: