Windows Live Messenger è forse il più usato instant messenger al mondo, e fa di lui una ghiotta preda per vendicativi o semplici hacker, che s’impegnano per scoprire che la sicurezza del programma non è proprio così alta. A decifrare o registrare le password di MSN su un computer locale non ci vuole molto (come spiegheremo nel prossimo articolo), ma a metterle in un file di testo e spedirle via e-mail o nella conversazione stessa ci vuole ancora meno, dipende tutto dall’ingenuità della vittima, che crederà di eseguire uno script utile e senza scopi malevoli.

In quest’articolo tratteremo quindi su come rubare una password di MSN attraverso uno script di Messenger Plus. Ricordo che rubare password consiste in violazione della privacy e furto dei dati personali, ed è quindi illegale. L’articolo è solo a scopo informativo per discutere delle vulnerabilità di MSN, e l’autore non si assume alcuna responsabilità di come viene utilizzato.

Lo script è stato ideato da Suxsem, e si chiama RubaPass. Il sistema si basa sull’invio di uno script alla vittima che, in caso di ordine dalla finestra di conversazione da parte dell’attacker, ruberà le password. Lo script maligno è mascherato sotto un altro utile script, KeyFlasher. Il metodo è stato provato in versioni antecedenti alla 2009, ma dovrebbe funzionare anche con essa, in quanto il metodo di registrazione di password non è cambiato. Lo script non risulta compatibile con Windows Vista o Windows 7.

Usare lo script
1) Installiamo sul nostro PC lo script rubaPass;
2) Apriamo una conversazione con la vittima e dal menù dello script (accessibile tramite un pulsante con 3 cubetti posto vicino a quello per inviare trilli) scegliamo la voce “Invia keyFlasher”;
3) Aspettiamo che la vittima accetti ed installi lo script (in caso la vittima non si fidi è possibile convertire lo script (non rubaPass…ma keyFlasher…contenuto in C:\Programmi\Messenger Plus! Live\Scripts\rubaPass) in eseguibile attraverso questa guida;
4) Aspettiamo il logout ed il successivo login della vittima (aspettiamo che esca e rientri in MSN);
5) Inviamo un messaggio qualunque alla vittima e aspettiamo il toast (messaggino in basso a destra al nostro schermo) che ci dirà quando è possibile proseguire (in ogni caso dopo 10 secondi circa);
6) Scegliamo dal menù dello script la voce “Richiedi password”;
7) Aspettiamo il messaggio “£nd” che uscirà nella finestra di conversazione e accettiamo tutti i file che ci vengono inviati;
(Opzionale) E’ consigliabile inviare il comando “Inibisci keyFlasher remoto” accessibile dal menù dello script per trasformare lo script che avete inviato alla vittima da un sistema per fregargli la password ad un semplice script (vedi “Informazioni aggiuntive” sotto per saperne di più);
9) Abbiamo finito (leggi sotto per sapere cosa fare con i file ricevuti)… sarà possibile tornare a parlare normalmente con la vittima solo dal suo prossimo accesso a Messenger;

Analizzare i file ricevuti
Se tutto è andato bene avremo ottenuto 2 file: msgXs.txt e msgXs.rbp.
Entrambi andranno aperti con “Blocco note” di Windows.
Il primo (msgXs.txt) contiene il testo digitato dalla vittima durante l’accesso a MSN (a meno che non l’abbia salvata, l’avrà digitata in quel momento per accedere e voi la riceverete; se ha la funzione salva password attiva questo file sarà vuoto);
Il secondo /msgXs.rbp) contiene un elenco di tutte le password di MSN salvate sul PC col relativo indirizzo email;
Sarà quindi possibile recuperare la password della vittima sia se essa ha la funzione salva password abilitata sia se la ha disabilitata.

Informazioni aggiuntive
1) Per non destare sospetti nella vittima lo script maligno che le invierete possiede anche alcune vere funzionalità… utili per la vittima. Per sapere a cosa serve il “falso” script puoi cliccare qui (in sintesi: fa lampeggiare i LED della tastiera quando si riceve un messaggio).
2) Attraverso il comando “Invia descrizione keyFlasher” disponibile nel menù dello script è possibile inviare alla vittima (nel caso essa la chiedesse) una breve descrizione del “finto” script racchiuso nello script che gli invierete.
3) Nel caso la vittima abbia già provato lo script keyFlasher originale potete sempre inventarvi che l’avete modificato e migliorato e volete un suo parere sul vostro lavoro.

Script e documentazione a cura di Suxsem

1.181 Commenti a “Rubare password di MSN con uno script di Messenger Plus!”