Окружной суд штата Вашингтон приговорил к 4 годам шведского предпринимателя, помогавшего продавцам фальшивых антивирусов легализовать платежи в рамках этого криминального бизнеса.

Уголовное дело гражданина Швеции Микаэля Патрика Сальнерта (Mikael Patrick Sallnert) было возбуждено по итогам трансграничной операции Trident Tribunal, проведенной спецслужбами США и правоохранительными органами 12 других стран, включая Украину, Литву и Латвию. После 3-летнего расследования силовикам удалось пресечь криминальную деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По оценкам ФБР, мошенники, поручившие шведу создать платежный сервис, обманули 960 тыс. пользователей, навязав им бесполезные программы, совокупно обошедшиеся жертвам в 71 млн. долларов.

Сальнерт был арестован в начале 2012 года на территории Дании. После экстрадиции в США он сознался в преступном сговоре с целью совершения мошеннических действий и в неавторизованном доступе к чужой компьютерной технике. Помимо тюремного срока, пособнику теневых бизнесменов назначен штраф в размере 650 тыс. долл.

Окружной суд штата Мэриленд удовлетворил ходатайство Федеральной торговой комиссии США (ФТК) и постановил взыскать свыше 163 млн. долл. с последнего ответчика по делу Innovative Marketing (IM), одной из крупнейших бизнес-структур по продвижению лжеантивирусов в интернете.

В конце 2008 года ФТК обвинила вице-президента украинского филиала IM Кристи Росс (Kristy Ross) и ее пятерых сообщников в недобросовестном маркетинге и продаже продуктов, не обладающих заявленными свойствами. Согласно ФТК, подельники являлись ключевыми фигурами в масштабной мошеннической схеме, жертвами которой стали свыше 1 млн. пользователей из 60 стран. Фальшивые антивирусы производились в Киеве и активно рекламировались в Сети через баннеры, размещенные на арендованных сайтах. При активации такого баннера пользователь перенаправлялся на страницу, которая имитировала сканирование и воспроизводила длинный список зловредов, якобы обнаруженных в подключенной системе. Встревоженному посетителю тут же предлагали «пролечить» компьютер, купив защитную программу, которая на поверку оказывалась бесполезным приобретением.

Маркетинговая деятельность IM, как и все прочие операции, была поставлена на широкую ногу. Мошенники покупали рекламные площадки через сеть подставных агентств. По словам ФТК, за год с небольшим Росс потратила свыше 3,3 млн. долл. на рекламу WinFixer, WinAntivirus, DriveCleaner и ErrorSafe, которые подавались пользователям как панацея от всех угроз. Когда покупатели обращались с жалобой в службу техподдержки IM, их просто подкупали или советовали отключить штатные средства защиты. Колл-центры IM функционировали на территории США, Канады, Великобритании, Индии, Польши и Аргентины. Выручка от продаж тоже распылялась по всему свету, кочуя из Канады в Бахрейн, Сингапур, Швецию, Латвию или на Украину. По оценкам McAfee, которая принимала участие в расследовании, годовые доходы IM порой достигали 180 млн. долл., а интернациональный штат насчитывал более 600 человек.

Одиозная компания прекратила свое существование в июне 2008 г., ее выкупило американское рекламное агентство Gambit Media. В конце того же года ФТК завершила расследование и подала иск в штате Мэриленд против владельцев и операторов мошеннического бизнеса. Позднее аналогичные иски были выдвинуты в других штатах.

В феврале 2009 г. за отсутствием ответчиков ФТК выиграла иск против главных зачинщиков этой сетевой аферы. Им был назначен штраф в размере 163 млн. долл. и наложен постоянный запрет на любые деловые операции и сетевую деятельность. Обоим главарям удалось скрыться до суда: один бежал на Украину, другой ― на родину, в Швецию.  Летом того же года ФТК согласилась урегулировать тяжбу с третьим ответчиком, хотя тот и объявил себя банкротом, а в январе 2011 ― еще с двумя, получив с них 8,2 млн. долл. Спустя 4 месяца федеральные власти при содействии коллег из Швейцарии конфисковали около 15 млн. долл., размещенные в этой стране одним из беглецов. Удастся ли ФТК получить многомиллионный штраф, назначенный Росс, покажет будущее.

Федеральная торговая комиссия США (ФТК) приступила к выплате компенсаций в погашение ущерба, причиненного американцам мошенниками, поставившими на поток продажу лжеантивирусов под видом полнофункциональных защитных решений.

Незадачливые покупатели Winfixer, Drive Cleaner, XP Antivirus и прочих подделок, ассоциированных с именем Innovative Marketing, получат чек от ФТК по почте. Чеки можно будет обналичить в течение 2-х месяцев. Средний размер компенсации составит 20 долл., хотя торговый регулятор обещает учитывать сумму индивидуальных потерь.

В базе ФТК числятся около 320 тыс. жертв ловких бизнесменов, наживавшихся на производстве, продвижении и сбыте бесполезных, а порой и опасных продуктов. Незаконный бизнес был пресечен через суд в декабре 2008 года. В урегулирование тяжбы представители Innovative Marketing согласились уплатить ФТК свыше 8 млн. долл., которые теперь будут использованы для выплаты компенсаций потерпевшим.

С июня 2011 года мы наблюдаем значительное уменьшение количества фальшивых антивирусов. В настоящее время фиксируем по 10 000 попыток заражения FakeAV ежесуточно. В то время как в июне эта величина достигала 50 000 - 60 000.

Количество попыток заражения Trojan-FakeAV в сутки, июнь-сентябрь 2011 г.

В конце прошлой недели Armorize сообщила о забавной ошибке хакеров, готовящихся к массированной атаке. Они забыли включить теги перед встроенным вредоносным кодом. В результате Google смог проиндексировать и обнаружить зараженные участки. В общей сложности, количество инфицированный доменов составило около 22400 — это более 536 тысяч зараженных страниц.

Правда, хакеры быстро спохватились и устранили свой недочет, так что Google снова не может обнаружить инфицированные страницы. Известно лишь, что скрипт перенаправляет их через несколько сайтов в точку, откуда на компьютер пользователя устанавливается эксплойт-пак BlackHole.

Программа использует уязвимости в Windows, Java, Adobe Reader и Flash Player, чтобы установить на машину жертвы фальшивый антивирус. В зависимости от операционной системе на компьютере пользователя, он может называться "XP Security 2012" для Windows XP, "Vista Antivirus 2012" для Windows Vista, и "Win 7 Antivirus 2012" для Windows 7.

Известно также, что источник атак расположен в США, а промежуточные домены — в Молдове.

Эксперты BitDefender обнаружили в сети Facebook неординарного троянца, который умело использует идентификаторы и контакты жертвы для самораспространения, блокирует средства защиты и удаляет штатный антивирус на зараженной машине, заменяя его бесполезной имитацией, а также загружает дополнительные модули и поддерживает связь с другими участниками зловредной р2р-сети.

Зловред перехватывает сеанс связи жертвы с другим участником социальной сети, вставляя в чат-диалог провокационное сообщение со ссылкой на некий видеоролик, главным героем которого якобы является объект атаки. Ссылка ведет на поддельную страницу YouTube с соответствующим именем в заголовке (корректно скопированным из профиля) и нелицеприятными комментариями друзей (их имена позаимствованы из списка контактов). При попытке запустить «видеоролик» пользователю предлагается установить новую версию Flash Player, воспользовавшись ссылкой. При ее активации на ПК жертвы вместо «плеера» загружается троянец.

Исследователи из Калифорниского университета в Санта-Барбара обнаружили, что продавцов поддельных антивирусов можно вычислить по характерному ритму возврата платежей недовольным покупателям. Составление черных списков поможет сделать этот подпольный бизнес невыгодным, — если легальные участники схемы обработки платежей осознают необходимость их использовать.

Целый год академики изучали статистику с серверов, принадлежавших трем крупным восточно-европейским «партнеркам», которые за 3 года совокупно заработали свыше 130 млн. долларов на продажах лжеантивирусов [PDF 798 Кб]. Чтобы запустить механизм извлечения прибыли из незаконного предприятия, теневым дельцам пришлось обратиться к услугам легальных институтов. Для регистрации в системе обработки платежей были созданы подставные торговые компании и открыты транзитные счета в коммерческих банках Чехии, Финляндии, Кипра, Израиля и Азербайджана. Во многих случаях обработку платежей осуществлял не банк-эквайер, а самостоятельный сервис ― чаще всего российский процессинговый центр ChronoPay.

Правоохранительные органы США в тесном взаимодействии с зарубежными коллегами пресекли криминальную деятельность двух интернациональных группировок, наживавшихся на продажах лжеантивирусов. По предварительным оценкам, эти мошенники ответственны за 1 млн. принудительных инсталляций, совокупно обошедшихся жертвам в 74 млн. долларов.

В ходе полицейских рейдов, проведенных на территории разных стран, были захвачены свыше сотни серверов и компьютеров, 40 банковских счетов, которые злоумышленники использовали для отмывания денег, а также произведены 2 ареста и 16 допросов. Международная акция, координацию которой осуществляло ФБР, явилась итогом трехлетнего расследования в рамках операции Trident Tribunal (можно перевести как «Третейский суд», хотя это и навевает неуместные ассоциации). Помимо американских спецслужб, в ней приняли участие силовые структуры Германии, Франции, Голландии, Швеции, Великобритании, Румынии, Канады, Украины, Литвы, Латвии и Кипра.

Появление нового варианта лжеантивируса для Mac OS X вынудило Apple ускорить выпуск обновления безопасности для этой операционной системы. Вирусописатели не замедлили сделать ответный ход, и вендору пришлось в срочном порядке добавлять еще одну сигнатуру в антивирусную базу XProtect.

Почти месяц Apple упорно игнорировала нашествие одиозных подделок, которые выманивали деньги у маководов за лечение мифических угроз, якобы обнаруженных в их системах. К концу мая служба техподдержки компании опубликовала инструкцию по ручному удалению MacDefender, MacProtector и MacSecurity, пообещав в скором времени выпустить защитное обновление.

Создатели лжеантивируса тут же внесли коррективы в свое детище, снабдив его компонентом с функциями даунлоудера. Как и его предшественники, вариант MacGuard использует для запуска дефолтные настройки Safari («открывать безопасные файлы после загрузки»), но не требует введения пароля администратора для своей установки.

Согласно статистике McAfee, после прошлогоднего затишья количество новых вариантов поддельных антивирусов, вымогающих деньги за лечение несуществующих угроз, вновь начало увеличиваться.

Наиболее интенсивные темпы прироста эксперты фиксировали в 2008-2009 гг., а также в начале 2010 года. Затем число инноваций на этом рынке заметно сократилось. Подъем, зафиксированный McAfee в первом квартале текущего года, отчасти объяснился появлением множественных модификаций корейского производства.

Как выяснилось, эти «новинки», атакующие американцев и европейцев с поддоменов Южной Кореи, не так уж юны. Большинство их ― цельнотянутые варианты продуктов, созданных в 2009-10 гг. Тем не менее, по мнению экспертов, расслабляться рано, псевдоантивирусы все еще представляют серьезную угрозу безопасности пользователей в интернет-пространстве.