Волна распространения фейка популярного FTP клиента FileZilla
На днях антивирусные компании обратили свой взор на распространяемые в сети фейки ftp-клиента Filezilla. Ребята из Avast сработали крайне оперативно, ведь сейчас 29.01.2014. Эта акция распространения была обнаружена malwaredomainlist.com более месяца назад — 21.12.2013, то есть более месяца назад.
В первую очередь хочу сказать, что ftp-менеджер FileZilla распространяется с открытым исходным кодом, что облегчает написание фейка просто колоссально.
В чем суть фейка: во время соединения с ftp-сервером данные параллельно уходили «налево», злоумышленнику, а программа продолжала работать как ни в чем не бывало.
Фейк клиента отличить от оригинала достаточно сложно. Во-первых, размер filezilla.exe в фейковом варианте на полтора мегабайта меньше оригинала.
Во вторых, в окне about разнятся компиляторы:
Вот так вот данные отсылаются злоумышленнику:
Сервер злоумышленника вшит в код фейка
В base64 зашифрована строка вида
ftp://username:password@ftp.domain.com:port
Отправка данных:
Юзер-агент фейка:
Сервер злоумышленников расположен в России
Вот так вот. Будьте аккуратны, когда скачиваете вполне себе доступный бесплатный софт с непонятных сайтов.
Напомню, что оф.сайт filezilla — http://sourceforge.net/projects/filezilla/ и https://filezilla-project.org/
https://blog.avast.com/2014/01/27/malformed...-login-stealer/
http://reverselab.info/news/fake-filezilla/
Внимание! Данная статья была написана более полугода назад, актуальность материала и состояние жизни ссылок не гарантируется! Воспользуйтесь дополнительными параметрами для поиска необходимого вам контента! Приносим свои извинения...
Внимание! У статьи пока нет комментариев, оставьте первым свой комментарий?