Avast! ได้เปิดเผยการวิเคราะห์หลังจากมีการตรวจพบว่า ตัวติดตั้งของโปรแกรม FileZilla ถูกปลอมแปลงและมีการฝังมัลแวร์เพื่อใช้ในการขโมยข้อมูลส่งกลับไปให้แฮ็กเกอร์
จากการตรวจสอบพบว่าแฮ็กเกอร์ได้ทำการสร้างเว็บไซต์ปลอมขึ้น และมีการอัพโหลดตัวติดตั้งของโปรแกรมนี้ไว้ ความแตกต่างภายนอกของตัวติดตั้งปลอมกับตัวติดตั้งจริงนั้นอย่างแรกคือขนาดไฟล์ที่เพิ่มจากประมาณ 6MB ไปเป็น 8MB เนื่องจากมีการเพิ่ม DLL บางไฟล์เข้ามา และรายละเอียดในหน้าต่าง About ซึ่งมีการใช้ SQLite/GnuTLS เวอร์ชันเก่าเพื่อป้องกันไม่ให้ผู้ใช้งานนั้นอัพเดตโปรแกรม
เมื่อมีการตามรอยการส่งข้อมูลของมัลแวร์นี้พบว่า มัลแวร์ได้ทำการเก็บข้อมูลที่ใช้ในการล็อกอิน FTP เช่นชื่อผู้ใช้, รหัสผ่าน, โดเมนและพอร์ต ส่งกลับไปให้กับโฮสต์ซึ่งตั้งอยู่ในประเทศเยอรมนี อีกทั้งยังพบอีกว่าตัวติดตั้งแฝงมัลแวร์ตัวนี้ได้ถูกคอมไพล์ไว้ตั้งแต่เดือนกันยายน 2012 แล้ว และพึ่งมีการตรวจพบเร็วๆ นี้นี่เอง
สำหรับวิธีการป้องกันตัวติดตั้งปลอมนี้ ทาง Avast! ได้ทำการโพสต์ SHA256 ของตัวติดตั้งปลอมไว้ให้ตรวจสอบกัน รวมไปถึงแนะนำให้ดาวโหลดซอฟต์แวร์จากแหล่งที่เชื่อถือได้และควรสแกนไวรัสก่อนด้วยครับ (SHA256 และบันทึกการตรวจสอบเต็มดูได้จากแหล่งที่มา)
ที่มา - Avast! Blog
Get latest news from Blognone
Follow @twitterapi
Blognone Jobs Premium
Cloudnone
- Kubernetes คืออะไร [Part 1] เกิดขึ้นมาอย่างไร? ทำไมต้องใช้มัน? | Cloudnone EP.14
- CI/CD ยังไงดี ตั้งเซิร์ฟเวอร์เอง vs เช่าคลาวด์ | Cloudnone EP.13
- รู้จักโน้ตบุ๊กบนคลาวด์ เช่าใช้งาน Jupyter Notebook ที่ไหนดี | Cloudnone Ep.12
- สรุปข่าวใหญ่ปี 23 และคาดการณ์เทรนด์ปี 24 ในวงการ Cloud | Cloudnone EP.11
- สรุปของใหม่และสาระสำคัญจาก AWS re:Invent 2023 | Cloudnone Special EP
Comments
ดีนะที่ลงไปก่อนตั้งนานแล้ว และโหลดจากเว็บ FileZilla โดยตรง
Coder | Designer | Thinker | Blogger
ใช้แต่ FileZilla Portable ฮ่ะ
ระบุ os ไหมครับ?
ถ้าบอกว่า DELL คงเป็น windows เท่านั้นแหละ
DELL ผมเอามาลง linux นะ :P
แป่วว.. พลาดแล้วเรา
เห็นว่าพูดถึง DLL ก็คงจะเป็น Windows นะครับ
Dream high, work hard.
ขอบคุณครับ ลืมไปเลย - -' เบลอๆ
ผมโดนไปแล้วครับ ทุกครั้งที่ใช้ Filezilla อีก 2-3 วันโดนแฮคเว็บทุกที เลยหยุดใช้ไปพักนึง
เพิ่งจะเลิกใช้ไปไม่นาน แต่ปกติก็โหลดจากเว็บของ FileZilla โดยตรงนะ
ต้องลองอัพเดทดูก่อนล่ะ
โหลดจากเว็บผู้พัฒนาปลอดภัยที่สุดครับ
Get ready to work from now on.
ประเทศเยอรมัน => ประเทศเยอรมนี
ผม login bitded ที่หอพักจะมีเมลเดือนว่า login มาสองฉบับ ที่อื่นฉบับเดียว... อันนี้ไม่เกี่ยวสินะ
ใช้แต่ winscp
เห็นหัวข้อแล้วตกใจ นึกว่าโดนบนเว็บ filezilla-project.org พออ่านก็....
FileZilla เจอข่าวทำนองนี้บ่อยเหมือนกันนะ ตัดปัญหาซื้อ SmartFTP ใช้ทีเดียวจบ
Cygwin น่าจะ work (ใช้เป็น command line แทน ) ไม่ก็ใช้ winscp แทนไปเลย
FileZilla ห่วยตรง password มันเก็บแบบไม่ได้เข้ารหัสเนี่ยล่ะ -*-)
web ราชการไทยที่โดน hack กันบ่อยครั้งนี่ก็เพราะ FileZilla ด้วยหรือปล่าว (ตั้งแต่ 2012 แล้วด้วย)
เก็บรหัสผ่านแบบ Plain Text โดนโทรจันดักไฟล์หมด, ตัวโปรโตคอล FTP เองก็ไม่ได้เข้ารหัสอีก แนะนำ SFTP หรือ FTP over SSL จะดีกว่า
ผมเห็นโฮสติ้ง Dedicated ก็ทำแบบนี้กันแทบจะทั้งหมด รวมถึง SSH ด้วย โดนแฮกเป็นว่าเล่น ผมว่าควรจะทำ (SSL over) VPN หรือโซลูชั่นอย่างอื่นที่เชื่อมต่อแบบ safe กว่าเดิม ไม่ใช่เปิดบ้านให้แฮกตรงๆแบบนี้