Trojanisiertes FileZilla - Kaum vom Original zu unterscheiden und absolut schädlich

am von webkeeper in Hosting Blog

Wäre es nicht illegal, könnten die verantwortlichen Entwickler mit ihrer Schöpfung angeben: Dieselben haben manipulierte Binaries in den FTP-Client von FileZilla eingebaut und dabei keine Mühen gescheut, den Code möglichst unauffällig zu gestalten. Im Rahmen einer Routinekontrolle fiel dem Virenschutz-Spezialist Avast die modifizierte FileZilla-FTP-Client-Version auf. Die Analyse ergab, dass die persönlichen Webhosting- bzw. FTP-Zugangsdaten an einen deutschen Server übermittelt werden. Die schädliche Version ist kaum vom Original zu unterscheiden.

Gefährlich Änderungen im Detail verborgen

Wer für die Dateiverwaltung seines Hosting die FileZilla-Versionen 3.7.3 oder 3.5.3 verwendet, sollte diese auf ihre Echtheit überprüfen (siehe Bild). Die jeweiligen Download-Seiten sind optisch nahezu mit der Webseite des Herstellers identisch und auf gehackten Servern beheimatet. Die Installation der gefälschten Version wird - wie das Original - über das "Nullsoft" - Installationsprogramm installiert. Während für den Betrachter alle bekannten Funktionen "ganz normal" zur Verfügung stehen, arbeitet eine im Binary eingebaute Spionagefunktion im Hintergrund und späht Daten nach Belieben aus. Ersten Erkenntnissen zufolge wurden die sogenannten Malware-Versionen mit der in die Jahre gekommenen Programm-Version 2.8.6 (statt 3.1.11) kompiliert.

Im Menü "Über FileZilla" können Sie deutliche Unterschiede zwischen Original- und Schädlings-Versione sehen.
(zum Vergrössern anklicken)

Trojanisiertes FileZilla - Kaum vom Original zu unterscheiden und absolut schädlich

Welche Schäden hinterlässt der "Wolf im Schafspelz"?

Angesichts der authentischen Nachbildung der genannten FileZilla-Clients bleiben für den Betrachter ernsthafte Schäden zunächst verborgen. Avast stellte fest, dass der schädliche Zwilling die Zugangsdaten des Benutzers via HTTP an einen Server in Deutschland überträgt. Dessen Spur konnte über drei russische Domains nachvollzogen werden. Zur Einschätzung der Sicherheits- bzw. Gefährdungslage testete der Virenschutz-Spezialist rund 50 Virenscanner; nur sieben lokalisierten die verseuchte Version 3.7.3.

Die Gefahr gekonnt umgehen

Zur Vermeidung dieser Gefahr empfehlen wir die Verwendung von WinSCP (Windows Secure Copy). Der auf FileZilla basierende SFTP-Client ermöglicht den verschlüsselten Daten- und Dateitransfer und funktioniert einwandfrei mit unseren Hosting Paketen. Der herkömmliche FTP-Client von FileZilla speichert alle Passwörter im Klartext, sodass das Auslesen persönlicher Zugangsdaten ein Leichtes ist.

© 2019 webkeeper.ch

Made with in Switzerland