Emsisoft
Malware-Warnung von Emsisoft: FileZilla-Fälschung „StealZilla“
Am 28. Januar gab der Hersteller der Open-Source-FTP-Anwendung FileZilla bekannt, dass gefälschte Versionen des Programms im Netz zu finden seien. Diese allgemein als „StealZilla“ bekannten Versionen enthalten Malware, die Server-Zugangsdaten abgreift und an die Angreifer sendet.
So erkennen Sie StealZilla
StealZilla wird über Websites Dritter verbreitet, die nichts mit FileZilla zu tun haben. Falls Sie neulich FileZilla heruntergeladen zu haben meinen, sollten Sie die Optionen der Anwendung unter die Lupe nehmen. In den Bildern unten sehen Sie die Info-Fenster von FileZilla (links) und StealZilla (rechts) im Vergleich.
Sie können ebenfalls die SHA-Hashes vergleichen:
Korrekte InstallerFileZilla_3.7.3_win32-setup.exe: fd1d51a3070159df19886207133d95b9d53a7106Bösartige Installer v3.5.3: dee74e8116e461e0482a4fef938b03c99e980e21
Bösartige Installer v3.7.3: f6438315b5a0dc8354b7f1834a1a91aa5c0f09cc
Bösartige FileZilla.exe v3.5.3: 749d1c8866b7c0d014b005344e8b6783e53e8d3c
Bösartige FileZilla.exe v3.7.3: 9c54e9666c40604e60e69e83337f7ce5de811557
Falls Sie Unterstützung beim Vergleich benötigen, wenden Sie sich bitte an den Emsisoft-Support.
So funktioniert StealZilla
Als Open-Source-Anwendung ist FileZilla schon lange anfällig für betrügerische Fälschungen; jedoch ist StealZilla aktuell der bis dato größte und erfolgreichste Hack. Auf den ersten Blick unterscheidet sich StealZilla nicht sonderlich von FileZilla. Zum einen sind die Websites zum Download der Drittanbieter (rechts) fast mit den offiziellen von FileZilla (links) identisch.
Darüber hinaus handelt es sich bei StealZilla um eine Anwendung mit vollständigem Funktionsumfang, die nur geringfügig kleiner als FileZilla.exe (6,8 MB) ist. Im Grunde genommen funktioniert StealZilla genau deshalb – und für Otto Normalverbraucher scheint alles in Ordnung zu sein.
Im Hintergrund findet man jedoch ein paar klare Hinweise. StealZilla enthält in der Tat einen FTP-Dieb, der die FTP-Verbindungsinformationen des Nutzers an die Hacker sendet, die hinter dem Angriff stecken. Diese Informationen werden nur einmal gesendet, aber damit können die Hacker dann Ihre Firewall umgehen und alle möglichen bösartiger Aktivitäten an oder mit Ihrem Computer vornehmen. Dies ist eine sehr subtile Methode, aber Emsisoft Anti-Malware erkennt sie trotzdem dank seiner Verhaltensanalyse.
Bisher ist die Identität der Verantwortlichen hinter StealZilla noch nicht geklärt. Man hat jedoch festgestellt, dass das Programm die gestohlenen Zugangsdaten an einen Server in Deutschland (IP 144.76.120.24) sendet; die damit verknüpfte Domain wird jedoch von Naunet.ru, einem russischen Registrar gehostet, der auf eine lange Geschickte im Zusammenhang mit Hacking zurückblickt. Die 3 bekannten Domains sind: go-upload.ru, aliserv2013.ru und ngusto-uro.ru, aber wer dahinter steckt, ist unbekannt.
Schutz gegen StealZilla
Beim Download jeder Open-Source-Anwendung ist es wichtig, nur offizielle oder offiziell zertifizierte Websites zu nutzen. Bei FileZilla sind das FileZilla.org und SourceForge.net. Bei Verwendung anderer Quellen setzen Sie sich einem Risiko aus. Bei jeder Anwendung sind regelmäßige Updates ein Schlüssel für umfassende Sicherheit. Insbesondere fällt auf, dass StealZilla nicht automatisch aktualisiert werden kann.
Das Malware-Analystenteam von Emsisoft wird StealZilla bei seiner weiteren Entwicklung verfolgen und Sie weiterhin auf dem Laufenden halten über wichtige Veränderungen dieser Bedrohung. Bis dahin wünschen wir Ihnen eine gute malware-freie Zeit!
