偽のFileZillaサイトでは何が起きますか?
- コンステラ
- 3月5日
- 読了時間: 1分
A. 本物と一緒に不審なDLLが導入されます。
見た目が似た偽のダウンロードサイトで、偽のFileZillaパッケージが配布されていることが確認されています。そのパッケージの中身の多くは、本物のFileZillaと同じ内容です。
ダウンロードしてインストールすると、環境には本物のFileZillaが導入されます。ただし同時に、脅威アクターが用意したDLLも追加でインストールされます。
本物の部分のFileZillaは改変されておらず、通常どおり動作します。
一方で起動時には、そのDLLもメモリに読み込まれて動作を開始します。このDLLの動作は画面上には現れません。しかし保存されたFTP認証情報にアクセスし、外部サーバと通信して活動を続けると想定されています。
この手法は脆弱性を悪用するものではなく、ユーザーにダウンロードとインストールを行わせる形で成立しています。