Begin februari werd bekend dat spammers erin geslaagd waren de CAPTCHA-beveiliging van Hotmail te kraken en inmiddels worden de anti-CAPTCHA bots op grote schaal ingezet. De bots zijn inmiddels zover ontwikkeld dat ze niet alleen de CAPTCHA's oplossen, maar ook de aangemaakte Hotmail accounts gebruiken om spam te versturen. Hotmail beschikt over 250 miljoen gebruikers, wat het lastig maakt om spammende accounts te achterhalen.

De geïnfecteerde Windows machines die de spammers voor de aanval op Hotmail inzetten krijgen een lijst van namen mee waaronder het e-mailaccout moet worden aangemaakt, zo laat deze analyse zien. Dit gebeurt zonder dat de slachtoffers het door hebben, aangezien Internet Explorer op de achtergrond probeert de accounts aan te maken. De bots zijn in zo'n 15% van de gevallen succesvol en gaan net zo lang door totdat voor alle meegestuurde namen een account is aangemaakt.

Zijn de accounts aangemaakt, dan begint de volgende fase van de aanval, het spammen. De bot logt in op het aangemaakte Hotmail account via de machine van het slachtoffer en genereert tegelijkertijd het te versturen spambericht en de te spammen adressen. Om detectie te voorkomen worden de accounts slechts tijdens bepaalde perioden gebruikt. Ook de CAPTCHA's van Google's Gmail en Yahoo! weet men inmiddels te omzeilen. Volgens Google zijn de bots nog niet zover dat ze het "alleen" kunnen en zouden ze hulp krijgen van mensen.