Atención: falso Filezilla roba datos de acceso a cuentas FTP

Se ha descubierto una nueva amenaza para los usuarios del cliente FTP Filezilla. Un software idéntico a Filezilla roba datos de acceso a cuentas FTP. Te damos más datos sobre este malware.

Ha saltado la alarma cuando se ha comenzado a detectar versiones malware del popular cliente FTP Filezilla, concretamente de las versiones 3.7.3 y 3.5.3. Filezilla es un completo cliente FTP que permite la transferencia de ficheros desde servidores remotos. Permite almacenar archivos en el servidor FTP y acceder a ellos de forma sencilla. Se trata de uno de los clientes más utilizados, cuya versión actual es la 3.7.3. Los primeros signos que levantaron sospechas fueron unas URLs de descarga falsas. Como se puede apreciar en las siguientes imágenes, el instalador del fraudulento Filezilla está alojado en páginas web con falso contenido (muestra de ello es que los textos y los comentarios de los usuarios son imágenes).

Falso Filezilla 1Falso Filezilla 2Falso Filezilla 3

Un Filezilla idéntico

La peligrosidad de este falso Filezilla, y la razón por la que ha pasado desapercibido durante todo este tiempo, es su gran similitud con el original. De hecho, la interfaz del instalador es idéntica a la versión oficial. La única diferencia que se puede observar es la versión del instalador NullSoft: el instalador malware utiliza la versión 2.46.3-Unicode, y el oficial usa la 2.45-Unicode. Todo el resto de elementos (textos, botones, iconos o imágenes) son los mismos. Por tanto, es conveniente que nos fijemos en esta versión del instalador NullSoft.

La similitud entre ambos programas va más allá, porque una vez instalado el Filezilla falso, es igual a la versión oficial y completamente funcional. El usuario no verá ningún comportamiento sospechoso, ni entradas en el registro del sistema, ni cambios en la interfaz de la aplicación.

Cómo detectar el falso Filezilla

Aunque ambos programas son casi idénticos, hay pequeñas diferencias que podemos detectar:

  • El archivo que ejecuta el programa oficial es ligeramente más pequeño que el falso (6,8 MB).
  • 2 librerías DLL que no están incluidas en la versión oficial: ibgcc_s_dw2-1.dll y libstdc++-6.dll.
  • La información en el About de Filezilla indica el uso de una versión más antigua de SQLite/GnuTLS en el caso del programa malware.
  • El falso Filezilla no permite actualizar el programa a nuevas versiones.

Falso Filezilla 4

Cómo actúa el falso Filezilla

A través de este fraudulento Filezilla, se envían los datos de acceso a las cuentas FTP, esquivando el firewall del ordenador, de una forma rápida y silenciosa. Estos datos robados se envían a los atacantes desde la propia conexión FTP en curso de una sola vez, a la misma dirección IP: 144.76.120.243, que pertenece a un servidor alojado en Alemania. Siguiendo esta pista, se han encontrado 3 dominios que enlazan a la misma IP:

go-upload.ru aliserv2013.ru ngusto-uro.ru

Estos dominios están registrados a través de Naunet.ru, conocida por sus actividades relacionadas con el malware y spam. Este sitio para registrar dominios, oculta la información de contacto de sus clientes e ignora las denuncias de dominios ilegales.

Probablemente los datos FTP robados se utilicen para propagar más software peligroso, y para otros usos maliciosos, como acceder a sistemas de pago o a la información privada de clientes.

Cómo protegernos

Este falso Filezilla puede pasar desapercibido por los antivirus que utilizamos, y podemos estar utilizándolo desde hace tiempo sin darnos cuenta.

Antivirus

Para evitar instalar en nuestro ordenador este tipo de software malicioso, siempre hay que descargar las aplicaciones de los sitios oficiales o sitios de total confianza. Y por supuesto, utilizar antivirus de calidad, actualizados a la última versión disponible. Además, conviene mantenernos informados de las últimas amenazas que van apareciendo.

Fuente: Avast! Blog

Relacionados

Nos encanta escucharte ¿Nos dejas tu opinión?