Cuevana, el popular sitio argentino de distribución gratuita de series y películas, fue encontrado distribuyendo un plugin para Firefox que contenía algunas líneas de instrucciones maliciosas, es decir, código cuyo propósito es capturar contraseñas en sitios web como los datos que ingresa un usuario en un formulario de una página. Al respecto, algunos miembros de Foro Coches –quienes descubrieron los scripts dañinos– pudieron comprobar que el plugin malicioso efectivamente es capaz de robar credenciales de acceso a servicios como Gmail. Asimismo, un análisis posterior permitió descubrir que existen otros JavaScript maliciosos encargados de robar información perteneciente a entidades bancarias específicas de México y Venezuela.

Cuevana es un portal que, al igual que otros sitios similares, necesita que el usuario instale un plugin para que se pueda reproducir todo el contenido multimedia. Hasta ahí todo aparentemente normal, sin embargo, este mismo componente aparte de permitir la visualización de videos, robaba información que la persona ingresara en algún sitio web. Según los responsables del sitio, es posible que este haya sufrido una brecha de seguridad y que por ende, un atacante subiera una versión infectada del plugin genuino sin que nadie lo hubiera notado. Aunque supuestamente la última versión del plugin se encuentra limpia, la versión anterior del complemento de Cuevana intentaba conectarse a otro sitio que actualmente se encuentra fuera de línea. Cabe notar que la dirección a la cual apuntaba, es muy similar a la genuina de Cuevana. Esto como técnica de Ingeniería Social para pasar inadvertido tanto por los dueños del sitio, como por las víctimas.  De allí, descargaba otros JavaScript dañinos y enviaba toda la información que le robaba a la víctima al mismo lugar. El cuestionado sitio a través de su cuenta de Twitter, anunció que

Cuevana jamás robó o robaría datos de sus usuarios. Estamos investigando si el problema que se mencionó es cierto y el origen del mismo.

Aparentemente, el actual plugin de Cuevana no realiza ninguna acción maliciosa de acuerdo al sitio, no obstante, se recomienda encarecidamente que todos los usuarios que hayan podido descargar e instalar la versión infectada del plugin de Cuevana, lo desinstalen completamente tanto de Firefox como Chrome. Aunque este último no habría sido afectado, recomendamos hacerlo de modo preventivo. Además, se deben cambiar inmediatamente todas las contraseñas de cualquier servicio web como bancos, correo electrónico, redes sociales, o cualquier página que requiera de usuario y contraseña para funcionar.

Para remover el complemento o plugin de:

Firefox: Botón Firefox --> Complementos

Eliminar plugin de Firefox

Chrome: Botón Opciones --> Herramientas --> Extensiones

Desinstalar plugin de Chrome

André Goujon
Especialista de Awareness & Research