Исследователи компании Websense
задокументировали появление очередной атаки, целью которой является
автоматическая регистрация почтовых аккаунтов на Hotmail. Новый метод позволяет
злоумышленникам обходить обновленную CAPTCHA, которую компания Microsoft
внедрила в конце 2008 года как раз для защиты от подобных вторжений.
Новой атаке присущ нетрадиционный подход к решению задачи по взлому капчи. В
частности, для защиты от обнаружения и реинжиниринга со стороны конкурентов или
экспертов в области безопасности в данной системе используется шифрование
трафика между ботами и сервером взлома капчи. Очевидно, создатели нового метода
хотят успеть получить как можно больше выгоды от своего изобретения, пока
"коллеги по цеху" не успели внедрить ничего похожего.
Согласно данным анализа, спам-боты устанавливаются на скомпрометированные
машины и используют для атаки работающий в фоновом режиме Internet Explorer.
Инструкции для автоматической регистрации боты в зашифрованном виде получают от
сервера управления. В процессе регистрации спам-боты способны принимать и
обрабатывать SSL-сертификаты, необходимые для получения безопасной ссылки на
регистрацию. После заполнения регистрационной формы полученными от сервера
значениями бот отсылает слепок CAPTCHA серверу обработки, который в ответ в
зашифрованном виде высылает готовое решение. Форма заполняется до конца, после
чего процесс регистрации завершается.
На одну попытку автоматической регистрации уходит в среднем от 20 до 25
секунд, при этом одна из пяти или восьми попыток бывает успешной. Таким образом,
на создание нового аккаунта затрачивается одна или две минуты. Аналитики
Websense предупреждают, что созданные подобным образом аккаунты могут
использоваться не только для рассылки спама через Hotmail, но и через другие
популярные сервисы Microsoft, такие как Live Messenger или Live Spaces.
