Firma de securitate Avast atentioneaza utilizatorii sa se fereasca de versiuni modificate ale renumitului client de FTP open source FileZilla, care fura datele de login prin FTP si le trimite catre un server dedicat gazduit in Germania.
Versiunea malware a clientului FTP FileZilla este functionala 100% si mentine aspectul versiunii oficiale, nelasand nicio urma de comportament suspect in registrii de sistem sau in modul de functionare al aplicatiei, avertizeaza Avast.
Chiar si interfata de instalare a versiunii malware de FileZilla este aproape identica cu versiunea oficiala, cu doar o mica diferenta intre versiunile de Nullsoft installer. Varianta malware foloseste 2.46.3-Unicode, in timp ce programul de instalare oficiala utilizeaza v2.45-Unicode.
Dat fiind faptul ca FileZilla este o aplicatie open source, de mai bine de 10 ani hackerii au luat codul sursa si l-au modificat in scopul de a incerca sa fure datele de login. Totusi, aceasta campanie derulata pe mai multe site-uri este una dintre cele mai ample pe care FileZilla a vazut-o in ultimii ani.
Datele de login furate sunt codificate folosind un algoritm custom base64 si apoi trimise catre adresa de IP 144.76.120.243, care este a unui server gazduit in Germania.
Avast a gasit 3 domenii legate de acest IP, toate inregistrate prin intermediul Naunet.ru, un registrar de domenii asociat cu activitati ilegale, care nu ofera informatii despre registranti si ignora cererile de suspendare a domeniilor.
Un semn ca utilizatorii ar putea folosi versiunea malware de FileZilla este atunci cand functia de update nu functioneaza.
“Orice incercare de a face update aplicatiei esueaza, cel mai probabil din cauza unui sistem de protectie care previne suprascrierea fisierelor binare ale malware-ului”, a spus Avast.