StealZilla - вредоносный FTP клиент, крадущий пароли

28 января 2014 года разработчик FTP клиента Filezilla сообщил о том, что в сети находятся измененные версии программы. Более известные под именем Stealzilla, версии содержат в себе вредоносное программное обеспечение, которое определяет данные FTP доступа и отправляет их на компьютер злоумышленника.

Как распознать Stealzilla

Stealzilla распространяется через третьи сайты, не имеющие ничего общего с Filezilla. Рекомендуется скачивать программу с сайта разработчика, а также официальных партнеров. Если вы недавно скачивали Filezilla, то стоит пристально приглядеться к опциям этого приложения. На скриншотах ниже показано для сравнения инфо-окно от Filezilla (слева) и от Stealzilla (справа).

Filezilla About

Пользовательский интерфейс вредоносной версии программы практически идентичен официальной версии. Единственное небольшое отличие, это версия Nullsoft инсталлятора, вредоносная программа использует 2.46.3-Unicode, а официальный инсталлятор 2.45-Unicode. Все остальные элементы, такие как тексты, кнопки, иконки и изображения одинаковы.

Установленный malware FTP клиент похож на официальную версию, и при этом полностью рабочий! Вы не найдете какой-либо странной активности, записей в системном реестре, подозрительных соединений или отличий в GUI приложения.

Однако, есть некоторые признаки по которым можно отличить подделку, среди них, 2 dll библиотеки ibgcc_s_dw2-1.dll и libstdc++-6.dll (не входят в официальную версию) и информация в окне "О программе" указывает на использование старых версий SQLite/GnuTLS. Любая попытка обновить программу заканчивается неудачей, т.к. скорее всего имеется защита на перезапись вредоносных файлов.

Как работает Stealzilla

Будучи открытым программным обеспечением, Filezilla уже давно была объектом мошеннических подделок, но Stealzilla на сей день является самым масштабным и удачным зловредом. На первый взгляд, Stealzilla не особо отличается от Filezilla. Веб-сайты для скачивания с третьих ресурсов практически идентичны с официальными загрузочными страницами Filezilla.

Кроме того, говоря об Stealzilla, речь идет о приложении с полным функциональным объемом, который только в очень малой степени меньше по размеру, чем filezilla.exe (~6,8 MB). Собственно говоря, фальшивка именно поэтому так успешно и работает – обычному пользователю все кажется в порядке. В действительности же Stealzilla содержит FTP-вора, который отсылает информацию по FTP-соединениям пользователя злоумышленнику, который стоит за атакой.

Вредоносная Stealzilla очень скрытно ведет себя с украденными данными. Программа не делает сканирование системы, информация отсылается только один раз, но этого достаточно, чтобы обойти файрвол и предпринимать любые вредоносные действия на компьютере.

Ответственные за StealZilla пока не установлены, но было определено, что программа отсылает украденные данные на сервер расположенный в Германии (ip 144.76.120.24). однако связанные с ним домены зарегистрированы через Naunet.ru, русском регистраторе доменов, который имеет бурную историю, связанную прежде всего с хакерством.
Три наиболее известных домена: go-upload.ru, aliserv2013.ru и ngusto-uro.ru.

Как защитить себя от Stealzilla

При скачивании открытого программного обеспечения очень важно использовать только официальные или официально сертифицированные сайты, такие как filezilla.org, filezilla.ru и sourceforge.net. Avast сообщает, что архивы этих сайтов не затронуты проблемной StealZilla. Посещая другие ресурсы, вы подвергаете риску безопасность своей личной информации.

Ключом к всеобъемлющей безопасности считаются регулярные обновления. Особо обращает на себя внимание то, что StealZilla не может автоматически обновляться. Интересно то, что по данным Avast практически никакие вирусные сканеры пока не могут определить наличие StealZilla, тем самым можно предположить, что вредоносная версия находиться в обороте уже с августа 2012 с версией 3.5.3. Появившаяся в сентябре 2013 официальная версия 3.7.3 также была уже обнаружена в виде подделки.

Вредоносный инсталлер 3.5.3:
SHA-1:    dee74e8116e461e0482a4fef938b03c99e980e21
SHA256: 595D954C7CE574337C97A0801E779BC3DCA94FC92AFAE8F483DCDD1A053C5C24

Вредоносный FileZilla.exe 3.5.3:
SHA-1:    749d1c8866b7c0d014b005344e8b6783e53e8d3c
SHA256: 525E9ED135C1435772A774D7AD7168CECCD225E354118E621482DB61174F6734

Вредоносный инсталлер 3.7.3:
SHA-1:    f6438315b5a0dc8354b7f1834a1a91aa5c0f09cc
SHA256: B9A12F9B6827144D84E65EF2BA454D77CB423C5E136F44BC8D3163D93B97F11F

Вредоносный FileZilla.exe 3.7.3:
SHA-1:    9c54e9666c40604e60e69e83337f7ce5de811557
SHA256: 2451599C03B136C1848F538184F0F266973B65AFC8DD25F272A7E6B0555B657A