FileZilla es uno de
los clientes FTP más conocidos y utilizados para conectarnos a cualquier
servidor FTP fácilmente desde Windows, macOS o Linux. Este cliente FTP siempre
ya tenido el visto bueno de los usuarios y la comunidad principalmente, además
de por ser el cliente FTP gratuito más completo, por ser de código abierto. Sin
embargo, parece que los responsables de este proyecto acaban de tomar una
decisión que no ha sido del agrado de una gran parte de esta comunidad: ocultar
software publicitario en el instalador oficial de FileZilla.
Este mismo fin de
semana se pudo ver en la red cómo, al descargar el instalador oficial de
FileZilla para Windows desde su página web, este, además del cliente FTP como
tal, también oculta una serie de ofertas que buscan hacer dinero a costa de los
usuarios cuando instalan esta aplicación. Cuando descargamos el instalador de
FileZilla desde el siguiente enlace y lo ejecutamos, el instalador se conecta a
un servidor remoto desde el que descargará las ofertas y un binario malicioso,
gefada.exe, para ofrecer a los usuarios la instalación de este adware.
Varios antivirus,
como se puede ver en VirusTotal, han empezado a considerar este instalador como
una amenaza al instalar software potencialmente no deseado. La publicidad que
nos aparece cuando instalamos este cliente FTP son, como se puede ver en las
imágenes anteriores, el antivirus Avast Free y el navegador Opera, aunque
también podemos encontrarnos con otros anuncios, como un motor de búsqueda de
ofertas con Bing.
Como era de esperar,
este movimiento no ha sido bien recibido ni por los usuarios ni por los
administradores de sistemas ni expertos de seguridad, pasando a ser
considerados para la mayoría de ellos como un nuevo “malware”, una aplicación
de la que, a pesar de ser de código abierto, ya no podemos fiarnos.
Cómo descargar FileZilla de forma segura y
sin publicidad
Mientras que el
enlace de descarga principal de esta aplicación oculta el adware y lo indica
mediante el texto “include bundled offers“, si descargamos el instalador desde
el siguiente enlace https://filezilla-project.org/download.php?show_all=1
, también en su web principal, el instalador no incluye ofertas y está
totalmente limpio. Además, desde aquí también podemos descargar la versión
portable, en formato ZIP, para no tener que instalar nada en el ordenador y
tener así mayor seguridad.
Los responsables de
FileZilla aseguran que no tenemos qué preocuparnos por estas ofertas, ya que no
se instalará nada en el ordenador a no ser que lo aceptemos nosotros mismos.
Sin embargo, después de que, de repente, hayan empezado una campaña tan
agresiva para monetizar esta herramienta de código abierto, ¿realmente podemos
fiarnos de ellos? ¿Qué les impide ahora, por ejemplo, ocultar un script de
minado de criptomonedas en el instalador de FileZilla?
Recordamos que,
además, FileZilla tiene una versión Pro, versión que, por 20 euros, nos permite
conectarnos a otros servidores que de forma gratuita no nos permite, como a
Amazon S3, servidores Azure, Google Cloud y WebDAV.
Fuente: bleepingcomputer
