[ad_1]

Si votre PC Windows a été piraté par un faux logiciel antivirus ou un « scareware » à tout moment au cours des dernières années, il y a de fortes chances que l’attaque ait été rendue possible par ChronoPayle plus grand processeur de paiements en ligne de Russie.

Des dizaines de milliers de documents volés et divulgués l’année dernière par ChronoPay offrent un aperçu fascinant d’une entreprise qui a habilement cultivé et largement profité du marché des scarewares, des programmes qui infiltrent les PC des victimes pour afficher de fausses alertes de sécurité dans le but d’effrayer les utilisateurs. pour un logiciel de sécurité sans valeur.

Cliquez sur l’image pour la version PDF de la chronologie. Chaque entrée est cliquable et renvoie vers des pièces justificatives.

ChronoPay gère les paiements de factures Internet pour une variété de grandes entreprises russes, y compris les compagnies aériennes nationales et les services publics. Mais ChronoPay est également spécialisé dans le traitement des transactions des industries dites « à haut risque », notamment les pharmacies en ligne, la vente de tabac, la vente de porno et de logiciels. Une entreprise est généralement classée comme à haut risque lorsqu’il existe un grand potentiel de rétrofacturation de carte de crédit et une probabilité raisonnable qu’elle ferme ou disparaisse sans avertissement.

À l’époque, ChronoPay était l’un des rares processeurs de Logiciel Pandore, la marque la plus répandue de logiciels malveillants qui assiégeait les consommateurs à l’époque. Cette histoire a établi des liens entre ChronoPay et une entité appelée Innovagest2000qui figurait comme contact du support technique dans les contrats de licence utilisateur final livrés avec presque tous les produits antivirus malveillants Pandora.

Quand j’ai affronté Pavel Vrublevsky, PDG de ChronoPay en 2009 à propos des liens apparents entre Innovagest et son entreprise, il a insisté sur le fait qu’il n’y avait aucun lien et que les services de traitement de son entreprise étaient simplement abusés par des escrocs. Mais les documents ChronoPay récemment divulgués brossent un tableau très différent, montrant qu’Innovagest2000 n’était qu’un exemple d’une opération à l’emporte-pièce que ChronoPay a affiné et répété au cours des 24 derniers mois.

Les documents montrent qu’Innovagest était une société fondée par la division espagnole de ChronoPay, et que ChronoPay a tout payé, du coût des documents de constitution d’Innovagest à l’enregistrement du domaine, à l’hébergement virtuel et aux lignes d’assistance technique et client 1-800 pour l’entreprise.

La même dynamique se jouerait avec d’autres « clients » de ChronoPay spécialisés dans la vente de logiciels antivirus malveillants. Par exemple, des documents internes divulgués indiquent que les employés de ChronoPay ont créé deux sociétés à Chypre qui seraient ensuite utilisées pour traiter les paiements antivirus frauduleux : Yoliant Holdings; et l’étrangement nommé Flytech Distribution Classique Ltée. Les e-mails de ChronoPay montrent que les employés ont également payé pour les domaines software-retail.com et créativité-soft.com, des domaines malveillants de colportage d’antivirus enregistrés aux noms et adresses de Yioliant Holdings et Flytech, respectivement. Enfin, des e-mails montrent également que ChronoPay a payé l’hébergement virtuel et l’assistance téléphonique pour ces opérations. Ce document comptable, tiré de l’un des documents apparemment volés à ChronoPay, répertorie plus de 75 pages de transactions par carte de crédit que l’entreprise a traitées auprès d’Américains qui ont payé entre 50 et 150 dollars pour débarrasser leurs ordinateurs des menaces imaginaires trouvées par les scarewares de la créativité. soft.com (les montants dans le document sont en roubles russes, pas en dollars, et le document a été modifié pour supprimer les numéros de carte de crédit complets et les noms des victimes).

De plus, les documents volés montrent que ces domaines ont été promus de manière agressive par des programmes d’affiliation anti-virus malveillants externes, tels que Gelezyaka.biz, ainsi qu’un programme d’affiliation antivirus malveillant apparemment géré en interne par ChronoPay, appelé « Crusader ».

RÉUNION À MOSCOU

Le mois dernier, je me suis rendu à Moscou et j’ai eu la chance de m’asseoir avec Vrublevsky dans ses bureaux. Lorsque je lui ai posé des questions sur Innovagest, son ton était très différent de la dernière fois que nous avons abordé le sujet en 2009. Cela a peut-être quelque chose à voir avec le fait que je lui ai déjà dit que quelqu’un m’avait divulgué les documents internes et les courriels de son entreprise, ce qui montrait à quel point ChronoPay faisait partie intégrante de l’industrie des antivirus malveillants.

« Au moment qui correspond à votre histoire, nous n’en savions pas trop sur les logiciels espions, et cette société Innovagest que vous avez suivie n’était pas utilisée uniquement pour les logiciels espions », a déclaré Vrublevsky. « Il a été utilisé pour un tas de merde. »

Vrublevsky a en outre déclaré que certains clients de ChronoPay avaient par le passé secrètement sous-loué les services de traitement de l’entreprise à d’autres entités, qui à leur tour l’ont utilisé pour faire passer leurs propres transactions louches. Il a proposé, à titre d’exemple, une entité dont je ne savais pas qu’elle était cliente de ChronoPay : un programme de promotion d’antivirus malhonnête appelé TrafficConverter.biz.

Comme je documenté dans un mois de mars. Article de 2009  Trafficconverter.biz a payé à ses promoteurs ou « affiliés » des centaines de milliers de dollars par mois pour proxénète des logiciels antivirus malveillants. Le domaine Trafficconverter.biz a été brièvement fermé fin novembre lorsqu’il a été découvert qu’il était recherché par des millions de systèmes Microsoft Windows infectés par la première variante du Ver Confickerqui demandait aux systèmes infectés de visiter ce domaine et de télécharger un fichier spécifique suggérant qu’il tenterait d’installer un logiciel antivirus malveillant.

« C’était un cas où ChronoPay avait un compte marchand enregistré en tant que fournisseur de services de paiement Internet auprès de Visa Islande, où le même compte marchand était utilisé par des centaines de petits commerçants, et l’un d’eux s’est avéré être le tristement célèbre TrafficConverter », Vrublevsky expliqué.

Mais qu’en est-il des documents divulgués qui montrent ce qui semble être des employés de ChronoPay créant des entreprises entières qui vendraient plus tard des antivirus malveillants – y compris les documents de constitution, les comptes bancaires associés, l’hébergement Web, l’enregistrement de domaine, l’assistance téléphonique et les comptes marchands liés à ces entités ? ChronoPay ne craignait-il pas que cette activité puisse donner l’impression que l’entreprise construisait simplement des marchands d’antivirus voyous à partir de zéro ?

Non, c’est ce que font les prestataires de services de paiement à haut risque, a expliqué Vrublevsky.

« Cela fait partie du service que vous fournissez », a-t-il déclaré. « Fondamentalement, vous possédez les entreprises qui ont ces identifiants de marchands, en plus vous faites du support client et tout ce qui s’y rapporte. Et c’est comme ça que tout autre fournisseur de services de paiement le fait, et vous pouvez trouver la même chose si vous creusez dans des entreprises comme Wirecard et Visa Iceland. Ainsi, la plupart des prestataires de services de paiement enregistrent essentiellement les entreprises elles-mêmes et surveillent l’ensemble [operation] de l’Intérieur. »

RECHERCHE ET DÉVELOPPEMENT DE SCAREWARE

Les dossiers divulgués montrent également que la division à haut risque de ChronoPay a travaillé avec diligence pour rester à la pointe de l’industrie des scarewares. En mars 2010, la société a commencé à traiter les paiements pour icpp-online.com, un site frauduleux qui a volé l’argent des victimes en les incitant à payer un « règlement préalable au procès » pour couvrir une « amende du titulaire du droit d’auteur ». En tant que société de sécurité F-Secure notait à l’époqueles victimes de cette escroquerie ont été informées qu’un « scanner de la fondation antipiratage » avait trouvé des torrents illégaux dans le système de la victime, et ceux qui refusaient de payer 400 $ via une transaction par carte de crédit s’exposaient à des peines de prison et à d’énormes amendes.

Les documents internes de ChronoPay montrent que des centaines de personnes sont tombées dans l’escroquerie, payant plus de 400 $ chacune (le message en haut de l’image indique que la formule interne de ChronoPay pour compter le nombre de téléchargements et de ventes générait des erreurs, alors prenez ces chiffres avec un grain de sel).

ChronoPay était également le processeur d’un faux produit antivirus connu sous le nom de Bouclier-ECqui a été traité via un compte marchand lié à une société appelée Martindale Entreprises Ltée. Encore une fois, des documents internes montrent que ChronoPay a non seulement créé Martindale Enterprises Ltd. et attaché des comptes bancaires à l’entreprise, mais qu’il a également payé l’enregistrement du domaine, l’hébergement et les lignes d’assistance téléphonique pour shield-ec.com.

L’escroquerie de scareware shield-ec était unique parce que les fournisseurs l’ont présentée comme « le résultat d’une collaboration de recherche de deux ans entre des programmeurs et des analystes de Martindale Enterprises et ZeusTrackerle principal centre de prévention des épidémies ZeuS.

ZeusTracker est un service gratuit géré par un chercheur en sécurité établi, Roman Hüssy, qui surveille les adresses Web connues pour être associées à la distribution et à la gestion du tristement célèbre cheval de Troie ZeuS. Comme l’a noté Hüssy dans un article de blog à l’époquela campagne de scareware Shield-EC s’est accompagnée d’une tournure intéressante : le site Web shieldec.com était en fait hébergé sur un botnet à flux rapide qui était également utilisé pour héberger au moins deux serveurs différents utilisés pour contrôler un grand nombre de PC infectés par Zeus.

Ces jours-ci, a déclaré Vrublevsky, il espère que son entreprise pourra se lancer sur le marché des produits antivirus légitimes. Lorsque je l’ai rencontré à Moscou, Vrublevsky m’a parlé des plans de l’entreprise pour créer et vendre son propre produit antivirus : ChronoPay Antivirus. Au début, je ne savais pas si je devais le prendre au sérieux. Mais ensuite j’ai trouvé un document dans la cache qui a confirmé cette affirmation. Un document en langue russe intitulé ChronoPay AntiVirus Vision (PDF), daté du 15 juin 2010, détaille les ambitions de l’entreprise sur ce marché.

Curieux de savoir quels autres domaines ChronoPay possède actuellement ? Consultez cette liste (PDF), extraite d’un récent e-mail interne qui a fuité de l’entreprise.

.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *