Ранее, мы уже сообщали новость, которая мгновенно распространилась в сети, новость, касающаяся Аноним обнародовал идентификаторы реальных адресатов-европейцев, чьи логины начинались на А и В, что наводит на мысль о существовании более полного списка.обнаруженных регистрационных данных свыше 10 тыс. пользователей hotmail.com, msn.com и live.com, выложенные в открытом доступе на одном из веб-сайтов. И как вы помните, затем и данные пользователей Gmail. Microsoft отрецает версию взлома и полагает, что эта информация была, скорее всего, собрана фишерами в ходе целевой кибератаки. Специалисты компании начали расследование и проводят стандартную процедуру восстановления контроля над скомпрометированными аккаунтами. Между тем, по нашим предположениям, механизм кражи паролей, которым воспользовались злоумышленники, описан в этом блогпосте. В нем автор рассказывает о специальном сервисе msn-blocked.com, который предоставляет ряд «услуг» по поиску тех пользователей MSN, которые заблокировали определенный аккаунт. Ссылка на этот «сервис» приходит пользователю в сообщении с адреса одного из «друзей» либо по электронной почте, либо через MSN. Для того чтобы воспользоваться услугами сервиса, естественно, нужно указать логин и пароль от учетной записи MSN, которую пользователь хотел проверить.

Предложение ввести логин/пароль для поиска черного списка в контактах

После того как пользователь вводит логин/пароль, с «засвеченного» адреса тут же по адресам его контакт-листа распространяется сообщение c предложением воспользоваться все тем же «сервисом» и выяснить, у кого получатель сообщения находятся в черном списке контактов.

http://windowslivehelp.com/community/t/119341.aspx

Спам в MSN

Пользователю, который решил воспользоваться услугами «сервиса», после введения логина и пароля показывают его список контактов, и через несколько секунд перебрасывают его на другой сайт (msnpass.info), где предлагают, отправив платное SMS-сообщение, купить специальную программу для просмотра паролей от MSN. На самом деле программа бесплатная, свободно распространяется на сайте производителя и предназначена для отображения паролей, сохранённых на компьютере пользователя. Не известно, меняют ли злоумышленники украденные пароли, чтобы спровоцировать пользователей на покупку этой программы.

Описание программы, за которую просят отправить SMS

 

Предложение отправить SMS, чтобы купить пароль
http://www.nirsoft.net/blog/uploaded_images/msnpass1-705304.png

Опубликованная часть базы украденных паролей ~10 000 (всего ~200 000) могла быть собрана подобным способом. Но самым интересным является то, что злоумышленники смогли организовать:

• Самораспространяющуюся атаку с использованием доверительных отношений между пользователями.
• Кражу паролей без использования вредоносных программ.
• Монетизацию с использованием платных SMS.

PS. Детектирование сайта, предлагающего ввести свои пароли для проверки содержимого черного списка контактов, добавлено в базы Антивируса Касперского как Trojan-PSW.HTML.Msnblock.a.