StealZilla - вредоносный FTP клиент, крадущий пароли

Тема в разделе "Новости информационной безопасности", создана пользователем regist, 4 дек 2014.

Метки:
  1. regist
    Оффлайн

    regist гоняюсь за туманом Ассоциация VN/VIP VIP Разработчик

    Сообщения:
    11.382
    Симпатии:
    5.268
    28 января 2014 года разработчик FTP клиента Filezilla сообщил о том, что в сети находятся измененные версии программы. Более известные под именем Stealzilla, версии содержат в себе вредоносное программное обеспечение, которое определяет данные FTP доступа и отправляет их на компьютер злоумышленника.

    Как распознать Stealzilla

    Stealzilla распространяется через третьи сайты, не имеющие ничего общего с Filezilla. Рекомендуется скачивать программу с сайта разработчика, а также официальных партнеров. Если вы недавно скачивали Filezilla, то стоит пристально приглядеться к опциям этого приложения. На скриншотах ниже показано для сравнения инфо-окно от Filezilla (слева) и от Stealzilla (справа).

    [​IMG]

    Пользовательский интерфейс вредоносной версии программы практически идентичен официальной версии. Единственное небольшое отличие, это версия Nullsoft инсталлятора, вредоносная программа использует 2.46.3-Unicode, а официальный инсталлятор 2.45-Unicode. Все остальные элементы, такие как тексты, кнопки, иконки и изображения одинаковы.

    Установленный malware FTP клиент похож на официальную версию, и при этом полностью рабочий! Вы не найдете какой-либо странной активности, записей в системном реестре, подозрительных соединений или отличий в GUI приложения.

    Однако, есть некоторые признаки по которым можно отличить подделку, среди них, 2 dll библиотеки ibgcc_s_dw2-1.dll и libstdc++-6.dll (не входят в официальную версию) и информация в окне "О программе" указывает на использование старых версий SQLite/GnuTLS. Любая попытка обновить программу заканчивается неудачей, т.к. скорее всего имеется защита на перезапись вредоносных файлов.

    Как работает Stealzilla

    Будучи открытым программным обеспечением, Filezilla уже давно была объектом мошеннических подделок, но Stealzilla на сей день является самым масштабным и удачным зловредом. На первый взгляд, Stealzilla не особо отличается от Filezilla. Веб-сайты для скачивания с третьих ресурсов практически идентичны с официальными загрузочными страницами Filezilla.

    [​IMG] [​IMG] [​IMG]

    Кроме того, говоря об Stealzilla, речь идет о приложении с полным функциональным объемом, который только в очень малой степени меньше по размеру, чем filezilla.exe (~6,8 MB). Собственно говоря, фальшивка именно поэтому так успешно и работает – обычному пользователю все кажется в порядке. В действительности же Stealzilla содержит FTP-вора, который отсылает информацию по FTP-соединениям пользователя злоумышленнику, который стоит за атакой.

    Вредоносная Stealzilla очень скрытно ведет себя с украденными данными. Программа не делает сканирование системы, информация отсылается только один раз, но этого достаточно, чтобы обойти файрвол и предпринимать любые вредоносные действия на компьютере.

    Ответственные за StealZilla пока не установлены, но было определено, что программа отсылает украденные данные на сервер расположенный в Германии (ip 144.76.120.24). однако связанные с ним домены зарегистрированы через Naunet.ru, русском регистраторе доменов, который имеет бурную историю, связанную прежде всего с хакерством.Три наиболее известных домена: go-upload.ru, aliserv2013.ru и ngusto-uro.ru.

    Как защитить себя от Stealzilla

    При скачивании открытого программного обеспечения очень важно использовать только официальные или официально сертифицированные сайты, такие как filezilla.org, filezilla.ru и sourceforge.net. Avast сообщает, что архивы этих сайтов не затронуты проблемной StealZilla. Посещая другие ресурсы, вы подвергаете риску безопасность своей личной информации.

    Ключом к всеобъемлющей безопасности считаются регулярные обновления. Особо обращает на себя внимание то, что StealZilla не может автоматически обновляться. Интересно то, что по данным Avast практически никакие вирусные сканеры пока не могут определить наличие StealZilla, тем самым можно предположить, что вредоносная версия находиться в обороте уже с августа 2012 с версией 3.5.3. Появившаяся в сентябре 2013 официальная версия 3.7.3 также была уже обнаружена в виде подделки.

    Вредоносный инсталлер 3.5.3:
    SHA-1: dee74e8116e461e0482a4fef938b03c99e980e21
    SHA256: 595D954C7CE574337C97A0801E779BC3DCA94FC92AFAE8F483DCDD1A053C5C24

    Вредоносный FileZilla.exe 3.5.3:
    SHA-1: 749d1c8866b7c0d014b005344e8b6783e53e8d3c
    SHA256: 525E9ED135C1435772A774D7AD7168CECCD225E354118E621482DB61174F6734

    Вредоносный инсталлер 3.7.3:
    SHA-1: f6438315b5a0dc8354b7f1834a1a91aa5c0f09cc
    SHA256: B9A12F9B6827144D84E65EF2BA454D77CB423C5E136F44BC8D3163D93B97F11F

    Вредоносный FileZilla.exe 3.7.3:
    SHA-1: 9c54e9666c40604e60e69e83337f7ce5de811557
    SHA256: 2451599C03B136C1848F538184F0F266973B65AFC8DD25F272A7E6B0555B657A

    источник.
     
    -SEM-, orderman, shestale и 4 другим нравится это.
  2. petr-ru
    Оффлайн

    petr-ru Пользователь

    Сообщения:
    62
    Симпатии:
    31
    Хочу заметить, что новость-то довольно-таки старенькая (ей уже почти год) - именно огда аваст поднял эту бучу и зловредные бинарники на вирустотале детектил только он один. Так было несколько дней, затем, заметив эту фигню (то, что больше никто не детектит и не собирается - т.е они впереди планеты всей) они выкатили статью и ее пропиарили - тогда остальные аверы начали подтягиваться с детектами. На данный момент эти файлы детектят по 40 аверов.
    Любой расторопный авер мог перехватить у них лавры первенства - изначально они и не планировали (как я понимаю) писать про это и их детект в гордом одиночестве несколько дней висел тогда на VT, и только через несколько дней они про это написали.
     
    Dragokas нравится это.

Поделиться этой страницей