Крупный российский оператор онлайн-платежей ChronoPay помогает киберпреступникам, распространяющим фальшивые антивирусы для компьютеров Mac, получать деньги от жертв мошенничества, сообщил в пятницу в своем блоге известный независимый специалист по информационной безопасности Брайан Кребс (Brian Krebs).
Антивирусные компании в начале мая зарегистрировали массовое распространение так называемых фальшивых антивирусов для Mac - вредоносного ПО, которое попав в компьютер пользователя, начинает выводить на экран сообщения о массовом заражении вирусами и предлагать очистить систему в обмен на несколько десятков или сотен долларов, переведенных на электронный счет, принадлежащий злоумышленникам. По неофициальным данным, через три недели после появления первых образцов фальшивых антивирусов, зараженными оказались от 60 до 125 тысяч пользователей. Некоторые разновидности фальшивых антивирусов перенаправляют обманутых пользователей на специальные сайты, через которые у них вымогаются деньги. В ходе собственного расследования Кребс выяснил, что несколько таких сайтов тесно связаны с ChronoPay.
По данным Кребса, речь идет как минимум о двух доменных именах: mac-defence.com и macbookprotection.com. Оба имени, согласно информации из сервиса WHOIS приведенной в блоге Кребса, зарегистрированы на анонимного владельца e-mail-адреса fc @ mail-eye.com. Этот адрес является одним из внутренних адресов, используемых в ChronoPay, утверждает Кребс со ссылкой на внутренние документы компании, попавшие в открытый доступ после взлома сайта ChronoPay, произошедшего в прошлом году.
Результаты собственной проверки, проведенной РИА Новости с помощью сервиса WHOIS в пятницу в 14.30 мск, не обнаружили адреса электронной почты fc @ mail-eye.com, однако все остальные данные (несуществующий номер телефона, физический адрес и т.д.) совпадали с приведенной Кребсом информацией. Кроме того, авторитетный сайт MalwareURL, на котором публикуются адреса сайтов, заподозренных в распространении вредоносного ПО или в участии в мошеннических схемах, также указывает на fc @ mail-eye.com, по крайней мере, применительно к одному из двух доменных имен - macbookprotection.com. Это может означать, что человек зарегистрировавший домен на адрес fc @ mail-eye.com, успел поменять его после публикации расследования Кребса.
Оба этих домена, а также еще два имени, которые, судя по названию, могут быть использованы в мошеннических схемах со лжеантивирусами для Mac - appledefence.com (используется комбинация слов Apple и Defence - защита) и appleprodefence.com, - уже заблокированы регистратором. Однако еще ночью в пятницу, когда в блоге KrebsonSecurity.com было опубликовано расследование Кребса, последние два доменных имени все еще работали и были зарегистрированы на fc @ mail-eye.com. В 14.30 мск в графе "электронная почта" владельца доменного имени уже значился другой адрес.
Получить оперативный комментарий у представителей ChronoPay не удалось.
По данным Кребса, ChronoPay и ранее была замечена в обслуживании сайтов, связанных с фальшивыми антивирусами. Однако по словам владельца платежной системы Павла Врублевского в интервью Кребсу, у ChronoPay множество клиентов, и некоторые из них занимаются как легальной так и нелегальной деятельностью, и Chronopay не всегда удается выяснить это достаточно быстро.
Антивирусные компании в начале мая зарегистрировали массовое распространение так называемых фальшивых антивирусов для Mac - вредоносного ПО, которое попав в компьютер пользователя, начинает выводить на экран сообщения о массовом заражении вирусами и предлагать очистить систему в обмен на несколько десятков или сотен долларов, переведенных на электронный счет, принадлежащий злоумышленникам. По неофициальным данным, через три недели после появления первых образцов фальшивых антивирусов, зараженными оказались от 60 до 125 тысяч пользователей. Некоторые разновидности фальшивых антивирусов перенаправляют обманутых пользователей на специальные сайты, через которые у них вымогаются деньги. В ходе собственного расследования Кребс выяснил, что несколько таких сайтов тесно связаны с ChronoPay.
По данным Кребса, речь идет как минимум о двух доменных именах: mac-defence.com и macbookprotection.com. Оба имени, согласно информации из сервиса WHOIS приведенной в блоге Кребса, зарегистрированы на анонимного владельца e-mail-адреса fc @ mail-eye.com. Этот адрес является одним из внутренних адресов, используемых в ChronoPay, утверждает Кребс со ссылкой на внутренние документы компании, попавшие в открытый доступ после взлома сайта ChronoPay, произошедшего в прошлом году.
Результаты собственной проверки, проведенной РИА Новости с помощью сервиса WHOIS в пятницу в 14.30 мск, не обнаружили адреса электронной почты fc @ mail-eye.com, однако все остальные данные (несуществующий номер телефона, физический адрес и т.д.) совпадали с приведенной Кребсом информацией. Кроме того, авторитетный сайт MalwareURL, на котором публикуются адреса сайтов, заподозренных в распространении вредоносного ПО или в участии в мошеннических схемах, также указывает на fc @ mail-eye.com, по крайней мере, применительно к одному из двух доменных имен - macbookprotection.com. Это может означать, что человек зарегистрировавший домен на адрес fc @ mail-eye.com, успел поменять его после публикации расследования Кребса.
Оба этих домена, а также еще два имени, которые, судя по названию, могут быть использованы в мошеннических схемах со лжеантивирусами для Mac - appledefence.com (используется комбинация слов Apple и Defence - защита) и appleprodefence.com, - уже заблокированы регистратором. Однако еще ночью в пятницу, когда в блоге KrebsonSecurity.com было опубликовано расследование Кребса, последние два доменных имени все еще работали и были зарегистрированы на fc @ mail-eye.com. В 14.30 мск в графе "электронная почта" владельца доменного имени уже значился другой адрес.
Получить оперативный комментарий у представителей ChronoPay не удалось.
По данным Кребса, ChronoPay и ранее была замечена в обслуживании сайтов, связанных с фальшивыми антивирусами. Однако по словам владельца платежной системы Павла Врублевского в интервью Кребсу, у ChronoPay множество клиентов, и некоторые из них занимаются как легальной так и нелегальной деятельностью, и Chronopay не всегда удается выяснить это достаточно быстро.
Last edited:
