Следы фальшивого антивируса Mac Defender ведут в Россию

Автор западного ИТ-блога KrebsOnSecurity.com Брайен Крeбс говорит, что его команда провела небольшое расследование в отношении нашумевших на этой неделе псевдо-антивирусов для Mac OS X Mac Defender и Mac Protector и пришла к выводу, что часть следов, связанных с появлением данных разработок, ведут в Россию. Кребс говорит, что по его данным, за Mac Defender может стоять платежная система ChronoPay.

Напомним, что ранее эта система уже попадала в статьи западных и российских СМИ, которые связывали деятельность этой платежной системы с различными непрозрачными и попросту незаконными операциями. В частности, в прошлом году, в прессе появились данные о том, что гендиректор ChronoPay Павел Врублевский, якобы, замешан в распространении интернет-порнографии, рассылке спама и отмывании денег. В самой ChronoPay данные обвинения отвергают, называя их "проплаченными". Кроме того, за последний год неоднократно появлялись слухи о взломе баз клиентов ChronоPay, впрочем, и это в компании отрицают.

На сей раз западные специалисты утверждают, что располагают "различными доказательствами" того, что за регистрацией доменов, распространявших вредоносное ПО для Mac OS стоит ChronoPay. Речь идет о доменных именах Mac-Defence.com и MacBookProtection.com. По словам Крeбса, в контактных данных обоих доменов указан адрес fc@mail-eye.com. В прошлом году из ChronoPay произошла утечка данных, в результате которой общественности стали известны некоторые внутренние сведения о платежной системе. Среди таких данных фигурировало и то, что указанный домен mail-eye.com принадлежит как раз ChronoPay. Управляется этот домен через серверы, размещенные в Германии.

Крeбс говорит, что также ему стали известны данные, согласно которым с доменами была связана финансовый контролер ChronoPay Александра Волкова. Проверка по базе Whois показала, что система аффилирована и с другими доменами, в частности AppleDefence.com и AppleProDefence.com. Пока эти домены не были замешаны в каких-либо незаконных операциях.

По данным антивирусной компании Eset, сейчас для пользователей Mac представляют наибольшую опасность несколько псевдо-наборов с поддельными программами, в частности MacDefender, MacProtector, MacSecurity и Apple Security Center. Распространяются подобные разработки через подставные сайты, попасть на которые можно либо через ложные ссылки в поисковиках, либо через ссылки в спаме, либо другими путями. Подобные "антивирусы" якобы сканируют систему, хотя на самом деле делают обратное - заражают ее вредоносными программами. Зачастую такие разработки также связаны с линками на порно-сайты.

"Данный российский поставщик платежных услуг и раньше попадал в истории с псевдо-антивирусами. Фактически, его можно назвать пионером в данной отрасли", - говорит Брайен Крeбс.

ChronoPay ранее была основным обработчиком платежей для TrafficConverter.biz, а также для поддельных антивирусов, распространявших червьConficker. Также ChronoPay проводила платежи для ICPP-online.com, мошеннического сайта, ориентированного на пользователей, обменивающихся файлами.

Говоря о последнем эпизоде, можно заметить, что записи на проекте Брайена Крeбса появились вечером в пятницу, а уже спустя примерно 12 часов Whois-записи по указанным доменам были изменены. Теперь все контакты там указывают на некую Crusaider Inc с бесплатным почтовым ящиком на серверах Yahoo.com, кроме того, часть доменов, зарегистрированных у чешского регистратора Webpoint.name была заблокирована.

Домен Mac-Defence.com был зарегистрирован 2 мая - как раз накануне начала распространения одноименного псевдо-антивируса. MacBookProtection.com был зарегистрирован 10 днями позже, AppleProDefence.com зарегистрирован 20 мая.

www.securitylab.ru

публикации сходной тематики

Комментирование закрыто.

 

При наполнении сайта использована информация из открытых источников. Владелец сайта не несет ответственности за недостоверную и заведомо ложную информацию размещенную на страницах сайта. При использовании информации опубликованной на нашем сайте, ссылка обязательна.

Реклама на сайте: