Finto FileZilla che ruba le credenziali

FileZillaavast! ha scoperto una versione modificata di FileZilla che ruba le credenziali e le trasmette ad un server gestito da malviventi.

Le versioni modificate hanno numero di release 3.7.3 e 3.5.3, si possono riconoscere essenzialmente in due modi: non eseguono l’auto-aggiornamento e le informazioni nella finestra di About sono diverse. Queste versioni sono perfettamente funzionanti e, se utilizzate, non presentano altre differenze rispetto alla versione legittima del programma.

Se si chiedono le informazioni sul programma, la versione legittama presenta, tra le altre, queste informazioni

Compiled for:   i586-pc-mingw32msvc
Compiled on:    x86_64-unknown-linux-gnu
Compiled with:  i586-mingw32msvc-gcc (GCC) 4.2.1-sjlj (mingw32-2)
Compiler flags: -g -O2 -Wall -g -fexceptions
GnuTLS:         3.1.11
SQLite:         3.7.16.2

Le versioni con spyware integrato hanno queste informazioni:

Compiled for:   i686-pc-mingw32msvc
Compiled on:    i686-pc-mingw32msvc
Compiled with:  gcc.exe (GCC) 4.5.0
Compiler flags: -g -O2 -Wall -g -fexceptions -std=gnu++0x
GnuTLS:         2.8.6
SQLite:         3.7.6.3

In alcune versioni tarocche non esiste l’informazione in merito a SQLite.

Alla luce di questi fatti, è importantissimo scaricare i programmi sempre dai siti del produttore, evitando fonti alternative. Uno dei metodi è di verificare con una richiesta su un motore di ricerca qual è il sito del produttore evitando di scrivere download nella ricerca perché ogni tanto su alcuni software poco diffusi c’è il rischio che alcuni distributori alternativi riescano a sorpassare il sito legittimo.

Le firme SHA256 degli installer e degli eseguibili modificati sono queste:

Installer v3.5.3:     595D954C7CE574337C97A0801E779BC3DCA94FC92AFAE8F483DCDD1A053C5C24
FileZilla.exe v3.5.3: 525E9ED135C1435772A774D7AD7168CECCD225E354118E621482DB61174F6734
Installer v3.7.3:     B9A12F9B6827144D84E65EF2BA454D77CB423C5E136F44BC8D3163D93B97F11F
FileZilla.exe v3.7.3: 2451599C03B136C1848F538184F0F266973B65AFC8DD25F272A7E6B0555B657A

Autore: Luigi Rosa

Consulente IT, sviluppatore, SysAdmin, cazzaro, e, ovviamente, geek.

2 pensieri riguardo “Finto FileZilla che ruba le credenziali”

  1. “c’è il rischio che alcuni distributori alternativi riescano a sorpassare il sito legittimo.”

    Diciamo pure che nel 50% dei casi, o anche piu`, c’e` SEMPRE almeno un sito di discutibile fama (se no due o piu`) che viene, nella ricerca, prima del sito “vero”.

    Io sto facendo una campagna di educazione presso tutti i miei clienti, ma la strada e` lunga e ripida. Insegnare lla gente come riconoscere un sito discutibile rispetto a uno legittimo e` difficilissimo.

    1. Sfottonic? 🙂

      Dobbiamo ringraziare il PageRank di Google per queste cose. Un sito con mille link entranti per Google e` piu` attendibile del sito del produttore del software… 🙁

Spazio per un commento