แจ้งเตือนตัวติดตั้ง FileZilla ถูกปลอมแปลง ฝังมัลแวร์ขโมยล็อกอิน

By: pe3z

on 29 January 2014 - 20:53 Tags:

Topics:

Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮ็กเกอร์

จากการตรวจสอบพบว่าแฮ็กเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดตโปรแกรม

เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่นชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง

สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อนด้วยครับ (SHA256 และบันทึกการตรวจสอบเต็มดูได้จากแหล่งที่มา)

ที่มา - Avast! Blog

Hiring! บริษัทที่น่าสนใจ

Carmen Software

Hotel Financial Solutions

Iron Software

Iron Software is an American company providing a suite of .NET libraries by engineer for engineers.

Bangkok Bank

Bangkok Bank is one of Southeast Asia's largest regional banks, a market leader in business banking

Comments

By: Be1con

on 29 January 2014 - 21:10 #675910

ดีนะที่ลงไปก่อนตั้งนานแล้ว และโหลดจากเว็บ FileZilla โดยตรง

Coder | Designer | Thinker | Blogger

By: azezel

on 29 January 2014 - 22:04 #675914

ใช้แต่ FileZilla Portable ฮ่ะ

By: PH41

on 29 January 2014 - 22:16 #675920

ระบุ os ไหมครับ?

By: wichate

on 29 January 2014 - 22:27 #675921 Reply to:675920

ถ้าบอกว่า DELL คงเป็น windows เท่านั้นแหละ

By: SilentHeal

on 30 January 2014 - 02:17 #675962 Reply to:675921

DELL ผมเอามาลง linux นะ :P

By: wichate

on 30 January 2014 - 09:44 #676036 Reply to:675962

แป่วว.. พลาดแล้วเรา

By: inkirby

on 29 January 2014 - 22:39 #675923 Reply to:675920

เห็นว่าพูดถึง DLL ก็คงจะเป็น Windows นะครับ

Dream high, work hard.

By: PH41

on 29 January 2014 - 23:53 #675942 Reply to:675920

ขอบคุณครับ ลืมไปเลย - -' เบลอๆ

By: addib2010

on 29 January 2014 - 22:57 #675927

ผมโดนไปแล้วครับ ทุกครั้งที่ใช้ Filezilla อีก 2-3 วันโดนแฮคเว็บทุกที เลยหยุดใช้ไปพักนึง

By: AronSun

on 29 January 2014 - 23:17 #675931

เพิ่งจะเลิกใช้ไปไม่นาน แต่ปกติก็โหลดจากเว็บของ FileZilla โดยตรงนะ

By: handtevada on 29 January 2014 - 23:19 #675932

ต้องลองอัพเดทดูก่อนล่ะ

By: Polwath

on 29 January 2014 - 23:28 #675935

โหลดจากเว็บผู้พัฒนาปลอดภัยที่สุดครับ

Get ready to work from now on.

By: panurat2000

on 29 January 2014 - 23:53 #675941

ประเทศเยอรมัน => ประเทศเยอรมนี

By: PH41

on 29 January 2014 - 23:55 #675943

ผม login bitded ที่หอพักจะมีเมลเดือนว่า login มาสองฉบับ ที่อื่นฉบับเดียว... อันนี้ไม่เกี่ยวสินะ

By: terap

on 30 January 2014 - 00:35 #675946

ใช้แต่ winscp

By: 44244

on 30 January 2014 - 00:36 #675948

เห็นหัวข้อแล้วตกใจ นึกว่าโดนบนเว็บ filezilla-project.org พออ่านก็....

By: PowerBerry

on 30 January 2014 - 08:40 #676010

FileZilla เจอข่าวทำนองนี้บ่อยเหมือนกันนะ ตัดปัญหาซื้อ SmartFTP ใช้ทีเดียวจบ

By: 44244

on 30 January 2014 - 08:48 #676014 Reply to:676010

Cygwin น่าจะ work (ใช้เป็น command line แทน ) ไม่ก็ใช้ winscp แทนไปเลย

By: PandaBaka

on 30 January 2014 - 09:17 #676025

FileZilla ห่วยตรง password มันเก็บแบบไม่ได้เข้ารหัสเนี่ยล่ะ -*-)

By: wichate

on 30 January 2014 - 09:47 #676038

web ราชการไทยที่โดน hack กันบ่อยครั้งนี่ก็เพราะ FileZilla ด้วยหรือปล่าว (ตั้งแต่ 2012 แล้วด้วย)

By: Architec

on 30 January 2014 - 13:02 #676089

เก็บรหัสผ่านแบบ Plain Text โดนโทรจันดักไฟล์หมด, ตัวโปรโตคอล FTP เองก็ไม่ได้เข้ารหัสอีก แนะนำ SFTP หรือ FTP over SSL จะดีกว่า

ผมเห็นโฮสติ้ง Dedicated ก็ทำแบบนี้กันแทบจะทั้งหมด รวมถึง SSH ด้วย โดนแฮกเป็นว่าเล่น ผมว่าควรจะทำ (SSL over) VPN หรือโซลูชั่นอย่างอื่นที่เชื่อมต่อแบบ safe กว่าเดิม ไม่ใช่เปิดบ้านให้แฮกตรงๆแบบนี้