Спецпроекты

ПО Безопасность Пользователю Интернет Веб-сервисы

Россиян обвинили в создании скандального трояна для компьютеров Apple

Известный эксперт по безопасности Брайан Кребс обвинил российскую процессинговую компанию ChronoPay в участии в недавних атаках на Mac-пользователей с помощью лжеантивируса Mac Defender. В ChronoPay свою причастность к заражениям "маков" отрицают.

В недавних хакерских атаках на сообщество Mac-пользователей оказалась замешана российская процессинговая компания ChronoPay. Об этом в своем блоге сообщил бывший журналист, а ныне специалист по информационной безопасности Брайан Кребс (Brian Krebs).

С начала мая 2011 г. тысячи пользователей компьютеров Mac оказались жертвами фальшивого антивируса Mac Defender, основной целью которого является выманивание денег с кредитных карт, а вовсе не борьба с вредоносным ПО.

Действовал Mac Defender (также известный как MacProtector или MacSecurity) следующим образом. Пользователи, попавшие на зараженные сайты (через поиск картинок Google), получали предупреждение о том, что на их компьютере обнаружены вирусы. И если в настройках в веб-браузера Safari было разрешено автоматически загружать безопасные файлы, на компьютере жертвы тут же возникал и открывался установочный пакет. Пользователю достаточно было согласиться на установку, причем вводить пароль администратора не требовалось.

После установки программы на экране компьютера продолжали возникать предупреждения о новых вирусах, а для пущей убедительности в Safari случайным образом открывались порно-сайты. В конце концов, пользователю предлагалось купить полную версию программы, поскольку бесплатная версия вирусы не удаляет. На самом деле вредоносной программой как раз являлась Mac Defender, которая никаких вирусов не удаляла, а лишь выманивала деньги.

Mac Defender наделал много шума, и вот теперь его связывают с русскими
Mac Defender наделал много шума, и вот теперь его связывают с русскими

По сообщению ZDNet, за 25 дней в службу поддержки Apple поступило от 60 тыс. до 125 тыс. обращений, связанных с заражением фальшивым антивирусом, а в первые дни более половины звонков, поступавших в службу, были связаны с программой Mac Defender. Однако компания пришла на помощь не сразу. Сначала, согласно внутренней инструкции, персоналу Apple было в строжайшей форме запрещено рассказывать о возможных способах удаления вредоносной программы.

На то, чтобы выпустить письменную инструкцию для удаления Mac Defender, вендору потребовалось около 3 недель. После выхода статьи всех пользователей, обратившихся в техподдержку по этому поводу, стали отсылать на соответствующую публикацию. Статья также была переведена на русском языке (ссылка). В ней также описано, как избежать установки вредоносной программы.

Сейчас же Брайан Кребс пишет, что оплачивать лжеантивирус предлагалось через домен mac-defence.com (об этом сообщается на форумах ). В других случаях упоминался адрес macbookprotection.com. Просмотрев данные о регистраторах этих доменов по команде Whois, эксперт выяснил, что домены зарегистрированы на электронный адрес fc@mail-eye.com. Этот же адрес в прошлом году фигурировал во внутренних документах ChronoPay, появившихся в интернете в результате утечки.

В документах было указано, что почтовый домен mail-eye.com принадлежит ChronoPay, и что компания платит за размещенный в Германии виртуальный сервер, обслуживающий этот адрес. Записи также указывали на то, что почтовый адрес fc@mail-eye.com принадлежит финансовому директору ChronoPay Александре Волковой. По данным Кребса, полученным у одного из провайдеров, недавно этот адрес использовался для регистрации двух новых доменов, каких именно, ему не сообщили. Он предполагает, что это и есть те адреса, через которые предлагалось проводить оплату Mac Defender.

Гендиректор ChronoPay Павел Врублевский в разговоре с CNews заявил, что «Кребс второй год подряд размещает негативные публикации о ChronoPay, основываясь на материалах, полученных от врагов компании». Врублевский заметил, что «если представить такой бред, что эти домены действительно принадлежат ChronoPay, то мы не регистрировали бы их на своих сотрудников».

Между тем, на официальном сайте ChronoPay появился пресс-релиз на английском языке, в котором компания сообщает, что никак не связана с Mac Defender. Представители компании аргументируют, что ChronoPay является известным и общепризнанным брендом (в России ему принадлежит 45% рынка электронной коммерции), и портить его репутацию нет никакого смысла. ChronoPay предупредила, что готова принять «соответствующие правовые меры» к распространителям порочащих сведений о компании.

Сергей Попсулин

Короткая ссылка