СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Продукты Реклама Политика ПДн
Отчеты
Технологии киберугроз
4 марта
#ИБ

Компрометация FileZilla 3.69.5: DLL‑троян крадёт FTP‑учётные данные

Зафиксирована компрометация популярного open-source FTP‑клиента FileZilla: злоумышленники распространили поддельную сборку версии 3.69.5, содержащую вредоносную библиотеку DLL. Фальшивый дистрибутив размещён на похожем домене filezilla-project.live и маскируется под легитимную программу, что делает атаку типичным примером злоупотребления supply chain.

Что произошло

Атака строится следующим образом:

  • Пользователь скачивает и запускает поддельную сборку FileZilla с домена filezilla-project.live.
  • В каталоге приложения оказывается вредоносная DLL; благодаря механизму DLL search order Windows эта библиотека загружается в процесс FileZilla вместо легитимной.
  • После загрузки DLL действует как «невидимый» компонент в рамках обычного сеанса FileZilla: она крадёт сохранённые FTP‑учётные данные и устанавливает соединения с серверами управления (C2).

Функциональность вредоносного модуля

Анализ показал, что вредоносная библиотека реализует несколько опасных возможностей:

  • Сбор сохранённых FTP‑учётных данных — потенциальный путь к компрометации веб‑серверов и хостинговых аккаунтов, связанных с этими данными.
  • Инициирование соединений с C2 через DNS‑over‑HTTPS (DoH), что усложняет обнаружение при традиционном мониторинге DNS.
  • Попытки подключения к дополнительному C2 через TCP‑порт 31415 — нестандартный порт, используемый для обхода фильтрации брандмауэров.
  • Способность к process Injection и техникам устойчивости (persistence), помимо основной кражи учётных данных.

Антианализ и условия активации

DLL использует набор проверок, чтобы избежать обнаружения в лабораторных и виртуализированных средах. Среди применяемых техник — запрос версии BIOS, определение производителя системы и проверка специфичных разделов реестра, связанных с виртуализацией. Если среда выглядит как изолированная (VM, песочница), поведение остаётся пассивным; на «реальной» пользовательской машине вредонос активируется и открывает C2 через DoH.

Показатели компрометации и что искать

  • Домен: filezilla-project.live (fake distrib).
  • Заражённая версия: FileZilla 3.69.5 с вредоносной DLL в каталоге приложения.
  • Аномальный трафик DoH из нелегитимных приложений.
  • Исходящие соединения на TCP 31415 или на неизвестные удалённые адреса сразу после запуска FileZilla.

Любое наличие конкретной версии .dll‑файла в каталоге FileZilla является сильным показателем компрометации.

Риски для пользователей и организаций

Кража FTP‑кредитов может привести не только к доступу к файлам через FTP, но и к компрометации web‑сайтов, систем управления контентом и хостинг‑аккаунтов. Использование DoH и нестандартных портов усложняет детекцию и отработку инцидента службами безопасности. В целом это демонстрирует, как опасны атаки на supply chain — когда доверенное ПО превращается в вектор заражения.

Рекомендации по защите и реагированию

  • Скачивайте ПО только из официальных источников (официальный сайт FileZilla, официальные репозитории).
  • Проверяйте цифровые подписи и хэши установщиков перед установкой.
  • Проводите инвентаризацию: если в каталоге FileZilla обнаружена неизвестная или «чужая» .dll — рассматривайте это как индикатор компрометации и немедленно изолируйте хост.
  • Проверяйте логи и сетевой трафик на предмет аномалий DoH и соединений на TCP 31415; при наличии подозрений выполните глубокий анализ хоста (снятие дампов памяти, анализ автозагрузки и запущенных процессов).
  • В случае подтверждения компрометации — смените пароли FTP/хостинга и проведите аудит связанных сервисов на предмет дополнительного доступа злоумышленников.
  • Настройте детекцию на поведение: мониторинг внезапных обращений к DoH‑провайдерам со стороны пользовательских приложений и попыток инжекции процессов.

Контекст: тренд атак на цепочки поставок ПО

Эта кампания продолжает тревожную тенденцию: злоумышленники всё чаще вмешиваются в процесс распространения популярных утилит — ранее были замечены компрометации дистрибутивов таких приложений, как 7‑Zip и Notepad++. Это подчёркивает необходимость строгих практик поставки ПО и контроля целостности получаемых установщиков.

Вывод

Инцидент с FileZilla 3.69.5 — ещё одно напоминание об угрозе supply chain и об уязвимости пользователей, доверяющих внешним источникам загрузки. Бдительность, проверка источников и хэшей, мониторинг сети и быстрая реакция на индикаторы компрометации — ключевые меры, которые помогут снизить риск и ограничить возможный ущерб.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: