Судя по симптомам, произведено внедрение постороннего кода в стили, используемые рядом аккаунтов в LiveJournal. В результате при попытке просмотра ленты друзей пользователь получает страницу с характерной синей lj-шной шапкой и одинокой формой для логина. В форме в качестве action
указан совершенно посторонний адрес-обработчик. При просмотре кода страницы видно, что оригинальная лента друзей никуда не делась, а просто перекрыта слоем с этой явно фишинговой формой. Фальшивая форма распространяется через специально-сформированные посты в уже взломанных Lj-журналах.
Судя по тому, что указанный в форме адрес к настоящему моменту уже благополучно прилег от нагрузки (видимо, не выдержав величины толпы запросов от желающих поделиться своим паролем), могло быть уже собрано очень немало паролей.
Вот скриншот этой поддельной формы
Пока в неспешно Lj-разбираются что же происходит, вот работающие временные решения:
1. Если у вас установлен в браузере плагин Ad Block — помогает такой фильтр, добавленный в правила сокрытия:
livejournal.com#DIV(class=b-fader)
2. Второй вариант ещё проще — дописать в конец URL-адреса читаемой френдленты данный параметр:
?nohtml=1
Всем потенциальным жертвам, разумеется, стоит немедленно сменить свой пароль от LiveJournal, на этот раз обращая внимание на содержимое адресной строки браузера.
Подозреваю что кулхацкеры какими-то способами получили доступ к нескольким акаунтам тысячников, кинули им эти посты с формой, а дальше размножение пошло уже полностью автоматически, по принципу обычного вируса — всем жертвам фишинга тоже внедрялась эта форма. В принципе, атака могла бы быть гораздо больнее — подвела кулхацкеров жадность поставить нормальный сервер и прокол с полем пароля без звездочек, в остальном все было сделано очень даже технично, снимаю шляпу.