Sito falso di FileZilla distribuisce malware: come proteggerti subito

Sito falso di FileZilla distribuisce malware: come proteggerti subito

Sito falso di FileZilla distribuisce malware: come proteggerti subito

Attenzione: un falso sito di FileZilla offre una versione infetta del client FTP che ruba le tue credenziali. Questa copia troianizzata sembra identica all’originale, ma nasconde un malware che contatta server remoti in modo invisibile. Soluzione rapida: scarica FileZilla solo da filezilla-project.org, verifica l’hash e controlla l’assenza di version.dll nelle cartelle.

In questo modo eviti furti di dati sensibili come accessi a server web o hosting. Il trucco sfrutta la fiducia negli strumenti open source, ma con poche precauzioni resti al sicuro.

Il pericolo nascosto nelle versioni fasulle

Una copia manipolata di FileZilla 3.69.5 sta girando sul web. L’archivio zip include il programma legittimo, ma con una DLL malevola extra. Al lancio su Windows, il sistema carica prima questa libreria infetta, attivando il malware senza che l’utente noti nulla. L’interfaccia e le funzioni sembrano normali, ma in background il codice dannoso accede alle credenziali FTP salvate, si connette a server controllati dagli attaccanti e può persistere sul PC.

Il danno va oltre il tuo computer: credenziali rubate espongono siti web, server e account hosting a intrusioni. Non si tratta di una vulnerabilità nel software originale, ma di un inganno semplice: domini simili o risultati di ricerca avvelenati spingono a scaricare da fonti non ufficiali.

Tendenza in crescita: software fidati avvelenati

Gli attaccanti puntano sempre più a utility open source popolari. Casi recenti includono falsi download di 7-Zip che trasformano PC domestici in proxy zombie, o aggiornamenti di Notepad++ compromessi con backdoor. Ora tocca a FileZilla, ospitato su un dominio clone come filezilla-project.live.

Il metodo è banale: prendono una versione portatile legittima, aggiungono la DLL infetta, ricompattano e distribuiscono. Sfruttano il DLL search order hijacking di Windows, che cerca librerie prima nella cartella dell’app e poi in System32.

Il segnale d’allarme: un file fuori posto

L’archivio ha 918 file, 917 datati 2025-11-12 come la release ufficiale. Uno solo spicca: version.dll del 2026-02-03. Una distribuzione pulita di FileZilla non include questa system DLL di Windows, che appartiene a C:\Windows\System32. La sua presenza è l’intero attacco.

Analisi in azione: cosa rivela Process Monitor

Test su sistema reale mostrano che filezilla.exe carica DLL dalla sua cartella prima. Per librerie di sistema come IPHLPAPI.DLL, non trovandole, passa a System32. Ma version.dll infetta viene caricata subito, eseguendo codice malevolo nel processo.

Dopo 17 ms, cerca version_original.dll (non presente), segno di DLL proxying: la DLL infetta inoltra chiamate alla versione legittima per non insospettire. Mancando il file rinominato, l’app potrebbe instabile.

FileZilla usa LoadLibrary senza percorso completo, favorendo il sideloading.

Difese anti-analisi integrate

La DLL rileva ambienti virtuali e sandbox con:

  • Controlli su BIOS e produttore sistema
  • Scansione chiavi registry VirtualBox
  • Enumerazione dischi
  • Allocazioni memoria con write-watch
  • Loop di sleep evasivi

In sandbox realistiche, risolve domini C2 e tenta callback. In VM ovvie, dorme o uccide il processo.

Comunicazione stealth con DNS-over-HTTPS

Per risolvere il dominio C2, usa DoH verso Cloudflare (https://1.1.1.1/dns-query?name=welcome.supp0v3.com). Questo elude monitoraggio DNS su porta 53, blocklist e firewall. Tecnica vista anche in campagne proxyware.

Configurazione embedded:

{
"tag":"tbs",
"referrer":"dll",
"callback":"https://welcome.supp0v3.com/d/callback?utm_tag=tbs2&utm_source=dll"
}

Tracciamento UTM indica operazioni strutturate.

Secondo canale C2: IP 95.216.51.236 su porta TCP 31415 (non standard, su Hetzner), con retry persistenti per mimetizzarsi.

Comportamenti flagged dall’analisi

Oltre all’osservato, l’analisi automatica rileva:

  • Furto credenziali da client FTP
  • Creazione processi sospesi e iniezione memoria
  • Compilazione .NET runtime con csc.exe
  • Modifiche registry per persistence
  • Chiamate API crittografia file

Profilo di un impianto multifunzione per furto dati, iniezione, persistenza e cifratura.

Cosa fare se sospetti infezione

  • Controlla cartelle FileZilla portatile per version.dll: se presente, sistema compromesso.
  • Scarica solo da filezilla-project.org, verifica hash ufficiale.
  • Monitora DoH da processi non-browser (es. a 1.1.1.1 o 8.8.8.8).
  • Blocca domini/IP noti alla rete.
  • Ispeziona zip per anomalie timestamp prima di estrarre.

Antivirus come Malwarebytes rilevano varianti note.

Indicatori di compromissione

  • Hash SHA-256: 665cca285680df321b63ad5106b167db9169afe30c17d349d80682837edcc755 (archivio), e4c6f8ee8c946c6bd7873274e6ed9e41dec97e05890fa99c73f4309b60fd3da4 (version.dll)
  • Domini: filezilla-project.live, welcome.supp0v3.com
  • Rete: 95.216.51.236:31415

Approfondimento tecnico

DLL search order hijacking spiegato

Windows cerca DLL in questo ordine:

  1. Cartella app
  2. Cartella corrente
  3. System32

Attackers piazzano version.dll in 1° posizione. FileZilla chiama LoadLibrary("version.dll"), caricandola infetta.

DLL proxying in dettaglio

La DLL malevola:

  1. Carica original (rinominata, qui assente)
  2. Proxy funzioni legittime
  3. Esegue payload parallelo

Codice tipico:

HMODULE hOriginal = LoadLibrary("version_original.dll");
// Proxy GetFileVersionInfo etc.
// Payload: C2 resolve, callback

Evasione DoH

Richiesta:

GET /dns-query?name=welcome.supp0v3.com&type=A HTTP/3
Host: 1.1.1.1

Risposta JSON con IP, invisibile a DPI su DNS plain.

Anti-analisi avanzata

  • Write-watch: VirtualAlloc con MEM_WRITE_WATCH per trappole memoria.
  • Registry: HKLM\SOFTWARE\Oracle\VirtualBox Guest Additions
  • WMI: “Win32_ComputerSystem” per “Manufacturer” == “VMware”.

In sandbox evasive, callback su HTTPS con user-agent FileZilla-like.

Persistence e capabilities

Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Process hollowing: ResumeThread su processi sospesi.
.NET JIT: csc.exe /target:library payload.cs
Crittografia: CryptEncrypt con chiavi derivate.

Per forensics: usa ProcMon filtra “Path contains version.dll”, Wireshark per DoH (filter: dns || http contains “1.1.1.1”).

Proteggiti sempre: fonti ufficiali, hash check, EDR per sideloading.

Fonte: https://securityboulevard.com/2026/03/a-fake-filezilla-site-hosts-a-malicious-download/

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto