Il post seguente è stato tradotto per gentile concessione di Unmask Parasites
Recentemente ho aiutato una società a risolvere problemi di sicurezza con i loro quattro siti web. Era un attacco del solito iframe injection.
I log FTP mostravano chiaramente come gli hacker avessero usato FTP per infettare file legittimi sul server. Quindi la domanda era, come è stato possibile rubare le credenziali FTP?
Ovviamente li ho indirizzati al mio post, dove avevo descritto come il malware rubasse le password e tutti i dettagli dei login memorizzati nei 10 client FTP più popolari (es. Filezilla, CuteFTP, Total Commander, ecc.).
Infatti, due recenti scansioni alla ricerca di malware hanno rivelato due oggetti sospetti sul loro computer. Uno di loro è stato identificato come “ Spyware.Passwords “. L’unico problema era che il proprietario del sito aveva dichiarato di non utilizzare i client FTP e di tenere tutte le password in KeePass . Inoltre gestiscono 50 siti web e solo quattro di loro sono stati infettati.
Il dubbio è stato chiarito quando hanno trovato una vecchia copia di SmartFTP sul computer. C’erano 5 account FTP (incluse le password) salvati. Quattro di loro erano i quattro siti compromessi! E per quanto riguarda il quinto? Senza dubbio tutte e cinque le credenziali del sito erano state rubate, ma il quinto sito non è stato compromesso perché la password era stata cambiata dopo l’ultimo uso di SmartFTP; così la password rubata non era valida al momento dell’attacco hacker. Questo spiega anche perché i rimanenti 45 siti non sono stati violati: le loro password non sono state rubate.
Lezione appresa
Non solo si dovrebbe evitare di salvare le password nel client FTP in uso, ma anche assicurarsi che non vengano salvate in vecchi programmi che possono risiedere ancora sul computer.
Fonte: Unused Programs – Real Threats
Recently, I helped one company to remediate security problems with their four websites. It was quite an usual iframe injection attack. FTP logs clearly showed how attackers used FTP to infect legitimate files on server. So the question was, how could FTP credentials be stolen?
Of course, I pointed them to my blog post where I described how malware stole passwords and all the login details saved in 10 most popular FTP clients (e.g. Filezilla, CuteFTP, Total Commander, etc.).
Indeed, recent malware scan revealed two suspicious items on their computer. One of them was identified as “Spyware.Passwords“. The only problem was the site owner said they didn’t use those FTP clients and kept all passwords in KeePass. Moreover, they manages 50 websites and only four of them got infected.
The answer became quite clear when they found an old copy of SmartFTP on their computer. There had been 5 FTP account (including passwords) saved there. Four of them were the four hacked sites! So what about the fifth? No doubt all five site credentials had been stolen, but the fifth site wasn’t hacked because its password had been changed after the last use of SmartFTP — so the stolen password was not valid by the moment of the hacker attack. This also explains why the rest 45 sites were not hacked — their passwords weren’t stolen.
Lesson learned
Not only should you avoid saving passwords in your current FTP client, but also make sure they are not saved in old programs that may still reside on your computer.
Source: Unused Programs – Real Threats