Si sos usuario de Cuevana ojo, leé esto.

Pregunta retórica para una noticia que se está esparciendo como reguero de pólvora por obvias razones, la cuestión surgió en Forocoches y en seguida muchos empezaron a revisar sus browsers y ver si también eran víctimas del robo de información.

Pero la gran mayoría no se detuvo ni un segundo a analizar si era verdadera y sólo despotrica en base a lo que los demás dicen haber visto, para evitar ese tipo de mala retroalimentación de la información viciada nos pusimos con N3ri a revisar nuestros browsers ¿estábamos siendo víctimas de robo de información?

No somos usuarios habitué del servicio de Cuevana por lo tanto la última vez que lo había instalado era de hace muchos meses, me fijé en los browsers de cada una de mis máquinas a ver cual lo tenía, al menos en dos instalaciones lo encontré ¿el resultado? negativo nada de phishing, pero eso no significa que una instalación más nueva no lo tenga, una pequeña ayuda para que puedan entender el problema y analizarlo y cómo cambiar el plugin de Cuevana para evitar seguir sufriendo robo de información.

En GalactiCow hacen un muy buen resumen del proceso que ha llevado a encontrar este código ofuscado dentro del plugin de Cuevana.

La cuestión es la siguiente, algunas instalaciones del plugin, aparentemente, tenían código malicioso, lo primero que se dijo fue que era de Cuevana queriendo robar datos, ahí es donde yo pongo en dudas las acusaciones.

Lo intersante es que no es tan difícil detectar que el script en cuestión está robando información, con la extensión de Firefox Tamper que te permite analizar los encabezados HTTP/HTTPS y demás, y justamente gracias a eso se puede ver que todo envío de datos improtante, usuarios, passwords, era enviado a un sitio falso, cuevanatv.asia

Phishing.

Aquí estamos ante un clásico acto de phishing, es muy común, la mayoría de estas acciones provienen de Asia donde no hay demasiada "justicia" actuando detrás de estos delincuentes, roban datos de cuentas bancarias, los acumulan en un servidor y luego con esa colección de datos roban dinero de cuentas comprometidas.

En este caso en particular y mirando el código infectado es obvio que los servidores de Cuevana donde contienen las extensiones, el .xpi en el caso de Firefox, fueron comprometidas el 2 de Septiembre, hace dos semanas, al menos por la fecha del archivo javascript que está dentro del plugin.

La versión del plugin no se actualizó, es la misma 4.2 de hace muchos meses, esto implica que difícilmente tu browser esté infectado si lo tenías instalado al plugin desde hace unos meses, pero seguramente esté infectado si lo habías hecho durante las últimas dos semanas.

Para ver esto van al botón Firefox arriba a la izquierda, luego "Complementos" y luego "Extensiones"

Analizando la infección.

Este phishing funciona tanto para Linux como Windows como Mac, va para todos por igual porque se hace dentro del browser. Firefox y Chrome estan comprometidos porque el plugin funciona para esas plataformas, yo sólo lo tenía en Firefox así que les cuento como ubicarlo allí:

En Windows 7:
/Users/nombredeusuario/Datos de programa/Mozilla/Firefox/Profiles/xxxxxx.default/extensions/

En Linux:
/home/nombredeusuario/.mozilla/firefox/xxxx.default/extensions/

Allí encontrarán la extensión con el siguiente nombre:
{a3a5c777-f583-4fef-9380-ab4add1bc2a8}.xpi

El xpi es en realidad un archivo comprimido, simplemente cambiando la extensión a .gzip y ya lo pueden abrir y descomprimir.

Dentro de él hay un archivo en particular, el infectado, llamado script-compiler.js

En las versiones previas al 2 de Septiembre en la línea 232 no hay nada, pero he aquí que en el infectado hay una cadena eval:

Las eval son típicas del phishing, básicamente es código javascript que traduce todo eso en nuevo código javascript que se ejecuta, es como encriptar algo para que no sea fácilmente identificable por el ojo inexperto o por antivirus.

De esta forma lo que está adentro de ese "eval" básicamente lo que hace es:

Es decir, llama en Cuevanatv.asia para tomar un contenido extra, el "payload" de este phishing, con nuevas instrucciones que se encargarán de sacar el contenido de tu PC.

En Forocoches recopilan el contenido de javascript de lo que estaba del lado de cuevanatv.asia


Responsabilidades.

Aquí quiero aclarar mi posición al respecto, desde mi punto de vista este acto deliberado de phishing no es por parte de Cuevana, es por parte de un tercero que aprovechó una vulnerabilidad en los servidores donde está alojado el script.

La razón para concluír esto es múltiple, primero simplifiquemos, es demasiado rebuscado que Cuevana registre un dominio .asia para hacer phishing, podría hacerlo en su propio servidor tranquilamente sin tantas vueltas ¿ofuscar el código? ¡inútil! simplemente podría llamar a otro javascript en el servidor de cuevana y hacerlo sin necesidad de esconder nada.

Por otra parte, el creador de Cuevana es ya una persona con exposición pública, no me lo imagino robando cuentas bancarias cuando la justicia ya sabe donde vive y todo. Por ende, por simplificación, no lo veo como responsable directo.

Pero si tiene una responsabilidad directa en la comunicación de esto.

Inmediatamente se corrió la voz alguien del lado de Cuevana reemplazó el archivo infectado por el original sin el phishing pero NADIE de Cuevana salió a decir esto.

Es gravísimo desde el punto de vista de sus usuarios, es necesario que se enteren y por eso hago este post, porque si instalaste el plugin entre el 2 y el 16 de Septimbre hay muchas posibiliades de que estés infectado y tus datos de cuenta bancarias, gmail, paypal y todo comprometido.

Cuevana está obligado moralmente a avisarle a sus usuarios de que los datos personales de cada uno han sido comprometidos, si fuesen inteligentes no sólo darían aviso si no que cambiarían el número de versión del plugin para forzar la actualización atomática del mísmo.


Qué hacer.

Desinstalá el plugin, reiniciá el browser y volvé a instalarlo si todavía querés usar Cuevana.

Cambiá las contraseñas de todo servicio web importante que usaste en las últimas semanas

Da aviso a tu banco de lo sucedido en caso de que seas muy paranoico o que realmente te falte dinero en tu cuenta comprometida

Nunca te te sientas completamente seguro utilizando plugins de sitios de poca confiabilidad como Cuevana. En otros momentos varios "clones" de Cuevana utilizaban sus plugins para reemplazar los banners de Adsense de los sitios que visitabas por los propios de ellos sin darte aviso. Eso era phishing sin grandes problemas (no te sacaban dinero), pero seguía siendo turbio, esto que han hecho ahora es utilizar la misma idea pero para robar información importante.

El sitio cuevanatv.asia fue dado de baja apenas esta noticia se supo, así que no van a estar en riesgo durante los minutos que leen este post y desinstalan el plugin

La gente de Cuevana debería dar aviso ya mísmo a sus usuarios, (NdP: ya lo hizo como se puede ver en la imagen al final de este párrafo) no me voy a poner a discutir aquí si es legal o ilegal lo que hacen con las películas, si ganan o no dinero y toda esa cosa.

Hacerte famoso no te hace experto en seguridad informática, ellos tuvieron éxito pero un cracker encontró un hueco en su servidor, subió un plugin "tuneado" y esparció la mugre. ¿La culpa de quien es? no es importante ahora hasta que no dejen de estar comprometidas tantas cuentas, lo importante es informar y mientras ellos no lo hagan es peor.