Informações sobre ameaças

Um site falso do FileZilla hospeda um download malicioso

por Stefan Dasic | 2 de março de 2026
FileZilla trojanizado

Uma cópia trojanizada do cliente FTP de código aberto FileZilla 3.69.5 está a circular online. O arquivo contém o aplicativo FileZilla legítimo, mas com uma única DLL maliciosa adicionada à pasta. Quando alguém baixa essa versão adulterada, extrai-a e inicia o FileZilla, Windows primeiro a biblioteca maliciosa. A partir desse momento, o malware é executado dentro do que parece ser uma sessão normal do FileZilla.

Como a cópia infetada tem a aparência e o comportamento do software original, as vítimas podem não perceber que algo está errado. Enquanto isso, o malware pode aceder às credenciais FTP guardadas, contactar o seu servidor de comando e controlo e, potencialmente, permanecer ativo no sistema. O risco não se limita ao computador local. As credenciais roubadas podem expor os servidores web ou as contas de alojamento aos quais o utilizador se conecta.

Este ataque não explora uma vulnerabilidade no próprio FileZilla. Depende de alguém descarregar a cópia modificada de um site não oficial e executá-la. O mecanismo de propagação é um simples engano, como domínios semelhantes ou envenenamento de pesquisa, em vez de autopropagação automática.

Uma tendência crescente de software confiável, pacotes contaminados

O abuso de utilitários de código aberto confiáveis parece estar a aumentar. No mês passado, relatámos downloads falsos do 7-Zip que transformavam computadores domésticos em nós proxy. Pesquisadores de segurança também relataram que uma infraestrutura de atualização comprometida do Notepad++ distribuiu um backdoor personalizado por meio do sideloading de DLL durante vários meses.

Agora, o FileZilla foi adicionado à lista de softwares falsificados dessa forma. Um domínio semelhante, filezilla-project[.]live, hospeda o arquivo malicioso.

Um site falso do Filezilla que hospeda um download malicioso.
Um site falso do FileZilla que hospeda um download malicioso.

O método é simples: pegue uma cópia portátil legítima do FileZilla 3.69.5, coloque uma única DLL maliciosa na pasta, compacte-a novamente e distribua o arquivo. A infecção depende de um Windows bem conhecido Windows chamado sequestro da ordem de pesquisa de DLL, em que um aplicativo carrega uma biblioteca do seu próprio diretório antes de verificar a pasta Windows .

Um ficheiro, um registo de data e hora, uma oferta

O arquivo contém 918 entradas. Dessas, 917 têm a data de última modificação em 12/11/2025, consistente com uma versão portátil oficial do FileZilla 3.69.5. Uma entrada se destaca: version.dll, datado de 03/02/2026, quase três meses mais recente do que todos os outros documentos do arquivo.

Uma distribuição portátil limpa do FileZilla não inclui um version.dll. As DLLs legítimas no pacote são todas bibliotecas específicas do FileZilla, tais como libfilezilla-50.dll e libfzclient-private-3-69-5.dll. A biblioteca API Windowsversion.dll—é uma DLL do sistema que reside em C:\Windows\System32 e não tem motivo para estar dentro de uma pasta do FileZilla. A sua presença é o ataque em si.

Flagrado em flagrante: o que o Process Monitor nos mostrou

Confirmámos o sideloading num sistema ativo utilizando o Process Monitor. Quando filezilla.exe começa, ele precisa carregar uma série de DLLs. Para cada uma delas, Windows primeiro o diretório do próprio aplicativo e, em seguida, recorre à pasta do sistema.

Para bibliotecas de sistema como IPHLPAPI.DLL e POWRPROF.dll, o diretório do aplicativo retorna NOME NÃO ENCONTRADO, então Windows as cópias legítimas de C:\Windows\System32. Este é um comportamento normal. Mas para version.dll, a cópia trojanizada está na pasta FileZilla. Windows lá, mapeia-a na memória e nunca chega ao System32. O código malicioso agora é executado dentro filezilla.exeO próprio processo.

Dezessete milissegundos após o carregamento, a DLL maliciosa procura por version_original.dll no mesmo diretório e recebe a mensagem NOME NÃO ENCONTRADO. Esse é um sinal revelador de proxy de DLL, uma técnica em que a DLL maliciosa é projetada para encaminhar chamadas de função legítimas para uma cópia renomeada da biblioteca original, de modo que o aplicativo host continue funcionando normalmente. Nesse caso, o original renomeado não foi incluído no arquivo, o que pode contribuir para a instabilidade do aplicativo.

O FileZilla chama o LoadLibrary apenas com o nome do ficheiro DLL, em vez do caminho completo, pelo que Windows primeiro o diretório do próprio aplicativo — exatamente o comportamento de que os invasores precisam para plantar um DLL malicioso. Esse é um comportamento comum do design.

Concebido para detetar ambientes de análise

A DLL inclui várias verificações destinadas a detetar máquinas virtuais e sandboxes antes de executar a sua carga útil. A análise comportamental revela verificações da versão do BIOS, consultas ao fabricante do sistema, sondagem da chave de registo do VirtualBox, enumeração da unidade de disco e alocação de memória usando write-watch, que é uma técnica que pode detetar a varredura de memória por ferramentas de análise. Loops de suspensão evasivos completam o kit de ferramentas anti-análise.

Essas verificações são seletivas, e não absolutas. Em ambientes sandbox que se assemelhavam muito aos sistemas reais dos utilizadores, o carregador resolveu com sucesso o seu domínio C2 e tentou fazer chamadas de retorno. Em configurações mais obviamente virtualizadas, ele ficou inativo, não produzindo nenhuma atividade de rede além das consultas Windows de rotina Windows . No nosso próprio sistema de teste, o FileZilla foi encerrado quase imediatamente após o lançamento, consistente com a DLL detectando o ambiente e encerrando o processo do host antes de atingir o seu estágio de rede.

DNS sobre HTTPS: ligando para casa onde ninguém está ouvindo

Quando o carregador determina que o ambiente é seguro, ele não usa o DNS tradicional para resolver o seu domínio de comando e controlo. Em vez disso, ele envia uma solicitação HTTPS para o resolvedor público da Cloudflare:

https://1.1.1.1/dns-query?name=welcome.supp0v3[.]com&type=A

Essa técnica, DNS sobre HTTPS, ou DoH, contorna o monitoramento corporativo de DNS, listas de bloqueio baseadas em DNS e dispositivos de segurança que inspecionam o tráfego na porta 53. É a mesma abordagem de evasão usada na campanha falsa de proxyware 7-Zip do mês passado.

Assim que o domínio é resolvido, o carregador volta a ligar para o seu servidor de preparação. A análise da memória do processo do carregador revelou a configuração completa incorporada no tempo de execução:

{

"tag":"tbs",

"referrer":"dll",

"callback":"https://welcome.supp0v3.com/d/callback?utm_tag=tbs2&utm_source=dll"

}

O rastreamento da campanha no estilo UTM sugere uma operação estruturada com vários vetores de distribuição. A tag tbs2 e o identificador de fonte dll provavelmente diferenciam essa distribuição de sideloading de DLL de outros métodos de entrega dentro da mesma operação.

Um segundo canal C2 numa porta não padrão

Além da chamada de retorno do DoH, o malware também acessa 95.216.51.236 na porta TCP 31415 — uma porta não padrão na infraestrutura hospedada pela Hetzner. A captura de rede mostra dez tentativas de conexão em duas sessões, sugerindo um mecanismo de repetição persistente projetado para manter o contacto com o seu operador. O uso de uma porta alta e não padrão é uma técnica comum para misturar o tráfego C2 além dos firewalls que apenas inspecionam portas de serviço conhecidas.

O que a análise comportamental sinalizou

A análise comportamental automatizada do arquivo sinalizou vários recursos adicionais além daqueles que observamos diretamente. As regras comportamentais sinalizaram a coleta de credenciais do software cliente FTP local. Considerando que o malware é transferido pelo FileZilla, algumas dessas detecções podem refletir o acesso legítimo do próprio FileZilla ao seu armazenamento de credenciais, embora a combinação com a infraestrutura de retorno de chamada C2 torne improvável uma explicação benigna.

Outros indicadores comportamentais incluíram:

• Criação de processos suspensos e gravação na memória de outros processos
• Compilação .NET em tempo de execução através do csc.exe
• Modificações no registo consistentes com a persistência da execução automática
• Várias chamadas à API de encriptação de ficheiros

Em conjunto, esses comportamentos sugerem um implante multifuncional capaz de roubar credenciais, injetar processos, persistir e, potencialmente, criptografar dados.

O que fazer se tiver sido afetado

Tenha cuidado ao descarregar software. O sideloading de DLL não é novidade, e esta campanha mostra como adicionar um único ficheiro malicioso a um arquivo legítimo pode comprometer um sistema. Recentemente, vimos táticas semelhantes envolvendo downloads falsos do 7-Zip e outros canais de distribuição comprometidos. Trate o software descarregado fora dos domínios oficiais do projeto com o mesmo cuidado que os anexos de e-mail inesperados.

  • Verifique se version.dll dentro de qualquer diretório portátil do FileZilla no seu sistema. Uma distribuição legítima do FileZilla não inclui esse ficheiro. Se ele estiver presente, considere o sistema comprometido.
  • Faça o download do FileZilla apenas a partir do domínio oficial do projeto em filezilla-project.org e verifique o hash do download em relação ao valor publicado no site.
  • Monitorize o tráfego DNS sobre HTTPS proveniente de processos que não sejam navegadores. Ligações HTTPS de saída para resolvedores DoH conhecidos, tais como 1.1.1.1 ou 8.8.8.8 de aplicações que não têm nada a ver com fazer pedidos na web devem ser investigadas.
  • Bloqueie os domínios e endereços IP listados na secção IOC abaixo no perímetro da sua rede.
  • Inspecione os arquivos zip em busca de anomalias na data e hora antes de extrair e executar aplicativos. Um único arquivo com uma data de modificação diferente do restante do arquivo é um sinal de alerta simples, mas eficaz.

Malwarebytes e bloqueia variantes conhecidas desta ameaça.

Indicadores de compromisso (IOCs)

Hashes de ficheiros (SHA-256)

  • 665cca285680df321b63ad5106b167db9169afe30c17d349d80682837edcc755 — arquivo FileZilla trojanizado (FileZilla_3.69.5_win64.zip)
  • e4c6f8ee8c946c6bd7873274e6ed9e41dec97e05890fa99c73f4309b60fd3da4 — trojanizado version.dll contido no arquivo

Domínios

  • filezilla-project[.]live
  • welcome.supp0v3[.]com — Retorno de chamada C2 e preparação

Indicadores de rede

  • 95.216.51[.]236:31415 — Servidor C2

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Notícias
Smart TV

As TVs Samsung deixam de espiar os espectadores no Texas. Veja como desativar o ACR em qualquer lugar

março 2, 2026

Enquanto a Samsung resolve um processo judicial sobre como as suas smart TVs recolhem e monetizam dados de visualização usando ACR, veja aqui como o resto de nós pode limitar os dados que partilhamos.

Fraudes

O anexo da ordem de compra não é um PDF. É uma tentativa de phishing para obter a sua palavra-passe.

março 2, 2026

Um anexo falso de ordem de compra revelou-se uma página de phishing criada para recolher os seus dados de login.

Notícias
semana da segurança

Uma semana em segurança (23 de fevereiro a 1 de março)

março 2, 2026

Uma lista de tópicos que abordámos na semana de 23 de fevereiro a 1 de março de 2026

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes