แจ้งเตือนตัวติดตั้ง FileZilla ถูกปลอมแปลง ฝังมัลแวร์ขโมยล็อกอิน

1

Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮกเกอร์

จากการตรวจสอบพบว่าแฮกเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดทโปรแกรม

เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่น ชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง

สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อน

ที่มา : blognone


Leave a comment!

You must be logged in to post a comment.