viernes, 15 de enero de 2016

¡ALERTA! Tu seguridad podría estar vulnerada si usas la extensión de adfiver.

Esta noticia ha sido totalmente inesperada, la fuente proviene del propio administrador de neobux, antes de traducir el comunicado solo quiero resumirles que quienes tengan la extensión de adfiver para google Chrome vayan a: > Más herramientas > Extensiones > y elimínenla extensión de adfiver y por seguridad cambien las contraseñas de sus cuentas PTC y en especial tu contraseña de paypal, según el administrador de neobux esta extensión estaría robando tus datos, veamos detenidamente el comunicado:


Si está utilizando una extensión de un sitio llamado AdFiver retirese inmediatamente y cambie su contraseña de acceso.
Esa extensión esta básicamente robando su información de acceso a NeoBux (y probablemente otros sitios también).
Esa fue la versión resumida, a partir de ahora voy a aportar toda la documentación para demostrar mi afirmación sobre el robo de datos:
En primer lugar vamos a echar un vistazo al manifiesto (el archivo de configuración básica de prórroga):
En el archivo de manifiesto se puede ver que se han solicitado permisos a todos los sitios web, incluso las más seguras, cuando en realidad no se están usando dentro de la extensión de su propio sitio web. Además,  se están cargando Javascript (ejecutar su propio código) en cada sitio web único, no sólo en AdFiver pero en todos los sitios web que visite. Echemos un vistazo más de cerca a la secuencia de comandos que están inyectando:
Uhm … eso es raro . Es el único guión totalmente ofuscado que tienen en su extensión. Siendo así que es difícil de leer, aunque ya podemos ver algunos códigos maliciosos con el eval y todos aquellos “atob”. Vamos a ver cómo termina después de limpiar un poco:
Vamos a centrarnos en el primer bloque del código , que envía un mensaje vacío a la extensión y ejecuta (evalúa) la respuesta.
¿Qué código se esta ejecutando? Vamos a averiguar…
Aquí podemos ver dos bloques de código. El primero se utiliza para recuperar el código que se ejecutará en el paso explicado anteriormente. Ese código se recupera directamente de AdFiver cada 24 horas. En este momento, el código recuperado es lo que se puede ver en la imagen siguiente. Mientras, el segundo bloque de código envía información a AdFiver junto con la dirección URL de la página web que estamos visitando … Eso es raro … ¡Regresaremos a esto más adelante !
Este es el código que AdFiver está ejecutando en todos los sitios web que visitamos y que puede modificar cuando lo deseen:
Vamos a hacer legible ejecutando el atob (atob (atob … línea de código que hemos encontrado en la imagen 3: atob(atob(atob(atob(atob(‘responseCodeGoesHere’).substr(1)).substr(1)).substr(1)).substr(1)).substr(1)
Una vez más … más código ofuscado por lo que vamos a hacer más limpio :
Eso es mejor. Aquí se puede ver que hay un bloque de código que se ejecuta si la página web que estamos visitando coincide con el siguiente formato:
window.location.href.match (nueva RegExp (atob (atob ( ” WG1oMGRIQnpQenBjTDF3dktGdGVYQzlkS2k1OEtXNWxiMkoxZUZ3dVkyOXRYQzl0WEM5cw ” )))) Qué hacer legible termina siendo:
Esa es la página de inicio de sesión NeoBux! Así que el guión es básicamente enviando NeoBux información de acceso cuando intentamos acceder a la extensión del AdFiver que lo envía de vuelta a sus servidores de 60 segundos despues de hacer login. Sí, ellos están tratando de robar sus datos de acceso y éxito a todos los que instaló la extensión (dándole permisos completos para hacer lo que quiera).
Lo peor es que lo están haciendo esto para todo el Web site de modo que en realidad puede robar sus datos de acceso en tantos sitios web que quieren cambiando el código que se están volviendo a ser ejecutado.
Ya hemos bloqueamos en nuestro final y si lo cambian vamos a bloquear de nuevo. Afortunadamente tienen un poco menos de 3k usuarios que lo utilizan, pero si usted es uno, hacen cambiar su contraseña (s) en este momento y dejar de usar que el malware.
Recuerde que cuando alguien le paga (ellos no, pero dicen que) para el uso de una cosa tal como una extensión que es la primera señal de que algo no está bien.
Si necesita más información sobre los estafadores detrás de esto usted lo puede encontrar en este tema.
Un moderador del foro, incluso ha publicado esto en su foro:
Obviamente fue censurado y el moderador fue invitado a “tomar una lectura”:
Así que ahora lo más probable es decir mentiras a los mods para que estos ayuden a Gustavo a mantener a flote el barco, aunque este se hunde poco a poco y sin solución. Como no tienen más dinero y han estado pagando pequeñas cantidades a diario son pruebas que evidencian la inminente la caida de AdFiver.
Después de ser capturado con las manos en la masa y sin ninguna otra alternativa, el código se ha cambiado en silencio a lo siguiente:
Actualmente no nos afecta este cambio para saber que podemos esperar realmente de ellos: el uso de que es una puerta trasera para conseguir las contraseñas robadas de los que utilizan esa extensión falsa. Además, sólo alguien con mentalidad de un niño iba a cambiar el nombre de la clase de ” gpt ” a ” jajajaja ” al ser capturado. Demuestra un punto sin embargo.

No hay comentarios:

Publicar un comentario