Дневники фальшивого антивирусного ПО от ChronoPay
Если ваш ПК в течение последних нескольких лет стал жертвой фальшивого антивирусного ПО, есть немалая вероятность того, что вы подверглись атаке со стороны ChronoPay, крупнейшего в России оператора онлайновых электронных платежей.
Десятки тысяч документов, украденных у этой компании и распространенных в прошлом году, позволяют увидеть истинную сущность этой компании, компании, которая извлекла немало прибыли из рынка мошеннических программ, выдающих себя за антивирусное ПО. Эти программы, проникнув на компьютер жертвы, выдают фальшивые предупреждения о нарушении безопасности и запугивают пользователя, убеждая его заплатить деньги за такое же фальшивое защитное ПО, которое ни от чего не защищает. За такими программами закрепилось название «запугивающее ПО» (scareware)
Компания ChronoPay обеспечивает биллинг и обслуживает Internet-платежи для целого ряда крупных российских компаний, включая авиалинии и коммунальные службы. Однако ChronoPay также специализируется на обработке транзакций для так называемых «высокорисковых отраслей», таких, как онлайновая фармацевтика, онлайновая продажа табака, порнографии и программного обеспечения. Бизнес считается «высокорисковым», если имеется заметная вероятность того, что он закроется и исчезнет без предупреждения, а по транзакциям по кредитным картам возможны оспаривания платежей и требования возврата.
В июне 2009 Washington Post опубликовала результаты шестимесячного расследования высокорискового бизнеса ChronoPay. В то время компания ChronoPay была одним из нескольких обработчиков платежей, обслуживающих Pandora Software, ведущего бренда в области мошеннического ПО из тех, кто осаждал пользователей в то время. Та история прочертила связь между ChronoPay и некоей организацией под названием Innovagest2000, которая упоминалась в адресах технической поддержки в лицензионных соглашениях почти всех фальшивых антивирусных продуктов, выпускаемых компанией Pandora.
Когда я встречался с генеральным директором ChronoPay’s, Павлом Врублевским (Pavel Vrublevsky) в 2009 году по поводу очевидных связей между его компанией и Innovagest, он настаивал, что нет никакой связи, и что услуги по обработке платежей просто покупаются и недобросовестно используются мошенниками. Однако недавно, после утечки внутренних документов из ChronoPay, рисуется совсем другая картина, из которой видно, что компания Innovagest2000, во-первых, создана компанией ChronoPay, и, во-вторых, была далеко не единственной операцией ChronoPay такого рода за последние два года.
Документы показывают, что Innovagest была основана испанским подразделением ChronoPay, и что ChronoPay оплачивала все, от оформления и регистрации документов Innovagest, до виртуального хостинга и телефонных линий поддержки пользователей для этой компании.
Та же картина обнаруживается и в отношении других «клиентов» ChronoPay, которые так же специализировались на продаже фальшивого антивирусного ПО. Например, из документов видно, что штатные сотрудники ChronoPay зарегистрировали на Кипре две компании, которые позднее использовались в обработке платежей за фальшивое ПО: Yioliant Holdings и Flytech Classic Distribution Ltd. Переписка ChronoPay показывает, что ее сотрудники платили за домены software-retail.com и creativity-soft.com, мошеннические «антивирусные» домены, которые были зарегистрированы на адреса Yioliant Holdings и Flytech, соответственно. Наконец, из переписки видно, что ChronoPay платила за виртуальный хостинг и телефонную поддержку для этих компаний. Этот бухгалтерский документ, взятый из документов утечки, содержит 75 страниц транзакций по кредитным картам размером от 50 до 150 долларов, совершенных американцами в уплату за избавление от воображаемых вирусных угроз, обнаруженных фальшивым ПО от creativity-soft.com (суммы платежей в документе приведены в русских рублях, а не в долларах, а номера карт и имена удалены из документа мной).
Далее, «уведенные» из компании документы показывают, что эти домены агрессивно рекламировались некоторыми партнерскими антивирусными программами, такими, как Gelezyaka.biz, а также мошеннической партнерской программой по продвижению фальшивых антивирусных программ под названием «Crusader», которая работала на базе ChronoPay.
В прошлом месяце я посетил Москву и имел возможность встретиться с Врублевским в его офисе. Когда я снова спросил его о Innovagest, его ответ уже заметно отличался от того, что он дал мне в 2009 году. Возможно, дело было в том, что перед этим я сообщил ему, что украденные и разосланные в разные адреса документы получил также и я. И что документы эти доказывают непосредственное участие ChronoPay в бизнесе по распространению фальшивого антивирусного ПО.
«В то время, о котором у вас идет речь, мы еще мало что знали о шпионском ПО, и о том, что компания Innovagest используется не только для распространения шпионского ПО», сказал Врублевский. «Эта компания была просто кучей мусора».
Далее Врублевский рассказал, что некоторые клиенты ChronoPay в прошлом тайно передавали свой доступ к услугам по обработке платежей другим лицам или компаниям, которые использовали их для проведения сомнительных транзакций. В качестве примера он привел организацию, о которой я раньше не знал, как о клиенте ChronoPay: программу продвижения фальшивого антивирусного ПО под названием TrafficConverter.biz.
Как я задокументировал в марте 2009 в статье для Washington Post, сайт Trafficconverter.biz платил продвигающим его «партнерам» сотни тысяч долларов в месяц за навязывание потребителям фальшивого антивирусного ПО. Домен Trafficconverter.biz был закрыт в конце ноября, когда обнаружилось, что к нему обращаются миллионы компьютеров, инфицированных первым вариантом червя Conficker worm, который заставлял инфицированную систему посетить этот сайт и загрузить некий файл, который затем пытался установить фальшивый «антивирус».
«Это был тот случай, когда у ChronoPay был коммерческий счет, зарегистрированный в Visa Iceland в качестве провайдера Internet-платежей, и тот же самый счет использовался сотнями мелких продавцов, а один из них и оказался тем злосчастным TrafficConverter», объяснил Врублевский.
Но как быть с тем, что документы утечки показывают, что сотрудники ChronoPay построили целиком весь бизнес по продаже фальшивых антивирусов – включая регистрацию фирм, открытие банковских счетов, хостинг сайтов, регистрацию доменов, телефонную поддержку и коммерческие счета, связанные с этими фирмами? Почему ChronoPay не беспокоило, что вся эта деятельность создает впечатление, будто компания с самого начала строит бизнес по продаже фальшивого ПО? самого начала и сайтов, регистрацию доменов, терв разные адреса документвт.ют
Нет, - объяснил Врублевский, - это как раз и есть то, что делают провайдеры услуг по обработке высокорисковых платежей.
«Это часть услуг, которые обеспечиваются провайдером», сказал он. «В основном, все сводится к тому, что вы владеете компаниями, от имени которых делаются продажи, плюс к тому вы обеспечиваете поддержку клиентов и все прочее, что нужно. Именно так работают и остальные провайдеры услуг по обработке платежей, и вы можете найти точно такую же картину, если раскопаете документа таких компаний, как Wirecard или Visa Iceland. Так что большинство провайдеров обработки платежей сами регистрируют эти компании, чтобы контролировать клиента изнутри».
ИССЛЕДОВАНИЯ И РАЗРАБОТКИ
Документы также показывают, что «высокорисковое» подразделение ChronoPay прилежно работало над тем, чтобы оставаться на переднем крае индустрии фальшивого ПО. В марте 2010 года компания начала обрабатывать платежи для сайта icpp-online.com, мошеннического сайта, который выманивал деньги у своих жертв под видом «платежа за тестовое использование ПО» для покрытия «штрафа правообладателю». Как компания F-Secure заметила тогда, жертвы этого мошенничества были информированы о том, что «сканер антипиратского фонда» обнаружил в торрентах системы жертвы нелегальные файлы, и если жертва откажется от уплаты 400 долларов через кредитную карту, то ей грозит огромный штраф или даже тюрьма.
Внутренние документы ChronoPay показывают, что сотни людей попались на эту мошенническую уловку, заплатив более 400 долларов каждый (сообщение в верхней части этого экрана показывает, что во внутренней формуле ChronoPay для расчета числа загрузок и выплат была ошибка, и потому принимайте эти цифры скептически).
Компания ChronoPay также была обработчиком платежей за фальшивый антивирусный продукт, известный под названием Shield-EC, для чего использовался коммерческий счет, привязанный к компании с названием Martindale Enterprises Ltd. И снова, внутренние документы показывают, что компания ChronoPay не только создала Martindale Enterprises Ltd., и управляла банковским счетом последней, но и платила за регистрацию доменов, хостинг и телефонную поддержку сайта shield-ec.com.
Мошенничество shield-ec.com было уникальным, потому, что распространители подавали его, как «результат двухлетних исследований объединения программистов и аналитиков компаний Martindale Enterprises и ZeusTracker, главного центра борьбы с ботнетом ZeuS.”
ZeusTracker – это бесплатный сервис, поддерживаемый известным исследователем проблем безопасности, Романом Хюсси (Roman Hüssy), который отслеживает Web-адреса, связанные с распространением печально известного трояна ZeuS. Как заметил Хюсси в то время в блоге, компания по распространению фальшивого ПО Shield-EC отличалась интересным обстоятельством: сайт shieldec.com фактически использовал в качестве хостинга быстро распространяющийся ботнет, который служил хостингом также и для двух серверов, используемых для контроля над большим числом машин, инфицированных трояном ZeuS.
В те дни, сказал Врублевский, он надеялся, что его компания сможет выйти на рынок легальных антивирусных продуктов. Когда я встретился с ним в Москве, Врублевский рассказал мне о планах компании по созданию и продаже собственного антивирусного продукта: ChronoPay Antivirus. Я тогда не понял, шутит он или говорит серьезно. Но затем я нашел документ, который подтверждает это заявление. Документ на русском языке - Видение антивируса ChronoPay (PDF), датирован 15 июня 2010, и описывает планы компании на этом рынке.
Дневники фальшивого антивирусного ПО от ChronoPay
Линейный вид
