Sicurezza

Falso Filezilla ruba le credenziali dei siti FTP

Sul blog di Avast è apparsa ieri una notizia che riporta l'esistenza di un "doppione cattivo" di Filezilla, il popolare client FTP.

Ben due versioni di questo client sono state manipolate, la v3.7.3 e la più vecchia 3.5.3, per nascondere un malware tra le piege del codice. A prima vista è quasi impossibile distinguere le release "malevole" da quelle ufficiali. L'unica differenza visibile immediatamente, ma alla quale non è facile far caso, è che quelle false fanno uso dell'installer Nullsoft in versione 2.46.3-Unicode, mentre i pacchetti di installazione ufficiali usano l'installer aggiornato alla precedente v2.45-Unicode.

La cosa ancora più sconcertante è che i client fasulli funzionano perfettamente! L'utente finale non è assolutamente in grado di discernere comportamenti strani, chiavi di registro sospette o cambiamenti nella GUI dell'applicazione!

Non è facile capire se la versione che stiamo usando sia geniuna o no. Bisogna andare a verificare i dettagli di compilazione…

L'unico sospetto può venire dalle dimensioni dell'eseguibile FileZilla.exe che è leggermente più piccolo dell'originale (parliamo di 6,8 MB) e della presenza di due librerie DLL chiamate ibgcc_sdw2-1.dll  e libstdc++-6.dll, che ovviamente mancano nella versione ufficiale.

Andando a scavare, si nota come per costruire le due versioni ricompilate, gli artefici abbiano utilizzato una versione più vecchia di SQLite/GnuTLS e di come abbiano disabilitato la possibilità di aggiornare il client, probabilmente per evitare che l'eseguibile venga sovrascritto perdendo così le sue capacità nascoste. A un'analisi approfondita da parte del team di Avast, il codice dell'eseguibile contiene una funzione che ruba i dettagli delle login FTP e le invia agli autori in modo semplice e pulito, senza allertare nessun firewall e in una singola soluzione tramite FTP.

Per fortuna, pare che il malware si limiti a questa funzione e che non invii anche dati su bookmark o rubi file dal PC o dall'FTP del malcapitato utente.  I dati sono inviati ad un server che ha indirizzo IP 144.76.120.243, che si trova in Germania e che contiene tre domini: go-upload.ru (creato il 23-9-2012), aliserv2013.ru (creato il 9-9-2013), ngusto-uro.ru (creato il 19-9-2013)

I tre domini sono registrati al registrar russo Naunet.ru, che è notoriamente associato all'undeground ed allo spaccio di malware, spam e che copre tali attività illecite, nascondendo le informazioni sui contatti e ignorando le richieste di sospendere i domini illegali. Le versioni del malware sono state compilate nel Settembre 2012 (la 3.5.3) e nel medesimo mese un anno più tardi per la 3.7.3. Avast ha naturalmente aggiornato il suo database antivirus per riconoscere questi eseguibili e molti altri motori antivirus si aggiorneranno a breve a seguito di questa scoperta.

Avast ha già aggiornato i suoi DB contro la nuova minaccia

È molto probabile che i dati di login degli FTP rubati, vengano poi usati dagli attaccanti in modo diretto o vendendoli nel mercato undeground, al fine di utilizzare gli FTP o i server di ignari utenti come ulteriore veicolo di malware o spam. Il tutto senza contare che una volta ottenuto l'accesso, potrebbero tranquillamente scaricare tutti i dati di un sito web.

I due gemelli cattivi di FileZilla si trovano in download presso torrent o siti non ufficiali, quindi il nostro consiglio è quello di premurarsi di scaricare ed installare software solo dalla fonte ufficiale e dai suoi link sicuri. Ancora di più considerando che il programma è totalmente gratuito, in quanto frutto di una iniziativa opensource.