Поддельный сайт FileZilla распространяет RAT через DLL sideloading и DoH

Недавняя атака показала хорошо организованную кампанию по распространению вредоносного ПО через поддельный веб‑сайт, имитирующий официальный сайт FileZilla. Злоумышленники заставляли пользователей загружать «легитимно выглядящую» версию клиента FTP, в которую был внедрён вредоносный компонент — version.dll. В результате на компьютерах жертв разворачивался многоступенчатый загрузчик, который в конечном счёте запускал Remote Access Trojan (RAT) с широкими возможностями удалённого контроля.

Как распространялось заражение

По данным анализа, атака развивалась в несколько этапов и эволюционировала от примитивной к более аккуратной схеме распространения:

• Первая фаза — архивы, содержащие портативную версию FileZilla 3.69.5 и вредоносный файл version.dll. При распаковке и запуске клиент загружал вредоносный DLL с помощью техники DLL sideloading, используя приоритет загрузки библиотек в Windows.
• В последующих итерациях злоумышленники использовали единый исполняемый файл (installer), который содержал и подлинный установщик FileZilla, и вредоносный DLL: запуск «установки» одновременно размещал DLL в каталоге приложения, где он выполнялся при последующих запусках FileZilla.

Механизм работы вредоносного DLL

Вредоносный DLL действует как загрузчик и использует многоступенчатую схему для обхода обнаружения:

• Каждый этап загрузчика извлекает и расшифровывает следующую стадию полезной нагрузки.
• Финальная стадия разворачивает и запускает RAT, предоставляющий злоумышленникам постоянный доступ к системе.
• DLL выполняет проверки окружения — версия BIOS, признаки виртуализации и другие характеристики системы — чтобы обнаружить анализ в песочнице и прекратить работу в подозрительных средах.

Техники уклонения и C2‑коммуникация

Для скрытия сетевой активности злоумышленники использовали несколько продвинутых приёмов:

• Коммуникация C2 осуществлялась через DoH (DNS over HTTPS), маскируя DNS‑запросы под обычный HTTPS‑трафик к публичному резольверу Cloudflare. Это затрудняло обнаружение и блокировку подозрительных доменов традиционными средствами мониторинга DNS.
• Анализ трафика C2 указывает на использование управляющих параметров (параметризации в запросах), что свидетельствует об организованном подходе и централизованном управлении операцией, а не о случайном одноразовом заражении.

«Атака демонстрирует классическую комбинацию социальной инженерии и технических приёмов уклонения: имитация официального сайта плюс многоступенчатый loader на основе DLL sideloading», — отмечают эксперты по кибербезопасности.

Возможные последствия для жертв

Итоговая нагрузка — RAT — предоставляет злоумышленникам широкий набор возможностей, среди которых:

• кража учётных данных;
• регистрация нажатий клавиш (keylogging);
• снятие скриншотов;
• создание скрытых удалённых сеансов доступа и манипуляции системой без ведома пользователя.

Такие возможности позволяют злоумышленникам укреплять контроль над заражёнными системами и разворачивать последующие этапы атаки (движение по сети, эскалация привилегий, кража данных).

Признаки заражения и индикаторы компрометации

• необычные процессы или DLL в каталоге установки FileZilla;
• появление файла version.dll рядом с исполняемыми файлами клиента;
• необычные HTTPS‑соединения к публичным резолверам (например, к Cloudflare) и аномалии в объёмах DNS‑запросов;
• подозрительная активность клавиатурного ввода, автономное снятие скриншотов и скрытые соединения удалённого доступа.

Рекомендации по защите

Пользователям и администраторам стоит принять следующие меры предосторожности:

• загружать ПО только с официального сайта разработчика; сверять URL и SSL‑сертификат сайта;
• проверять цифровые подписи и контрольные суммы инсталляторов перед установкой;
• ограничивать привилегии пользователей и применять принцип наименьших прав;
• внедрять EDR/AV с возможностью поведенческого анализа и обнаружения техник типа DLL sideloading и многоступенчатых загрузчиков;
• использовать политики application whitelisting (AppLocker, аналогичные решения) для предотвращения запуска неподписанных или нежелательных исполняемых файлов;
• в сетевом мониторинге обращать внимание на аномалии DoH‑трафика и при возможности централизованно контролировать резолверы DNS внутри организации;
• при подозрении на компрометацию — изолировать устройство, собрать артефакты (логи, файлы), провести полное сканирование и при необходимости выполнить восстановление из надёжной резервной копии.

Вывод

Случай с поддельным сайтом, распространявшим модифицированный клиент FileZilla, подчёркивает устойчивую угрозу, основанную на социальной инженерии и продвинутых техниках уклонения. Главная опасность — сочетание достоверно выглядящего инсталлятора и скрытой многоступенчатой логики загрузчика, плюс использование DoH и централизованного C2, что делает такую операцию привлекательной для организованных групп злоумышленников. Критически важно соблюдать базовые правила цифровой гигиены, контролировать каналы распространения ПО и внедрять современные средства обнаружения для уменьшения риска успешного заражения.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.