De nombreuses entreprises de faux antivirus qui payaient des pirates pour imposer des logiciels de sécurité indésirables aux utilisateurs de PC ont fermé boutique ces dernières semaines. La vague de fermetures survient au milieu d’un examen minutieux par l’industrie de la part d’experts en sécurité et d’une multitude de responsables internationaux de l’application des lois. Mais il est probablement trop tôt pour éclater : les profits démesurés qui génèrent de faux vendeurs audiovisuels garantissent que le marché va bientôt rebondir.
Au cours des dernières semaines, certains des principaux programmes de promotion de faux audiovisuels ont disparu ou se sont plaints de difficultés à traiter les transactions par carte de crédit pour les victimes potentielles de scareware : Gagarinecash, Gizmo, Cloucash, Meilleur AV, Blacksoftware et Sevantivir.com soit ont cessé leurs activités, soit ont alerté les affiliés qu’ils pourraient ne pas être payés pour les installations actuelles et futures.
Avis aux affiliés de BestAV
Le 2 juillet, BestAV, l’un des plus grands réseaux de distribution de faux AV, a déclaré à ses affiliés que des circonstances imprévues avaient conspiré pour ruiner le programme lucratif pour tout le monde.
« Chers annonceurs : La semaine dernière a été assez compliquée. Des circonstances de force majeure bien connues ont conduit à d’importantes sommes d’argent bloquées dans les banques, ou en cours de traitement, rendant impossible le paiement des annonceurs à temps et en totalité.
La perturbation semble être en partie due à une pression internationale des forces de l’ordre contre la fausse industrie audiovisuelle. Lors d’une opération récente, les autorités ont saisi des ordinateurs et des serveurs aux États-Unis et dans sept autres pays dans le cadre d’une enquête en cours sur un gang de piratage qui a volé 72 millions de dollars en incitant les gens à acheter de faux AV.
Il peut y avoir une autre raison à la perturbation : le 23 juin, la police russe a arrêté Pavel Vrublevsky, le co-fondateur du géant russe du paiement en ligne ChronoPay et un acteur majeur sur le marché du faux AV.
Répartition du marché noir
Les employés de ChronoPay attendent à l’extérieur pendant que la police de Moscou fouille les lieux.
Vrublevsky a été arrêté pour avoir prétendument engagé un pirate informatique pour lancer des attaques par déni de service contre les rivaux de ChronoPay dans le domaine du traitement des paiements. Son rôle de pionnier dans la fausse industrie audiovisuelle a été bien documenté sur ce blog et ailleurs.
En mai, j’ai écrit sur des preuves montrant que les employés de ChronoPay étaient impliqués dans la promotion de MacDefender – un faux logiciel AV ciblant les utilisateurs de Mac. ChronoPay plus tard a publié une déclaration niant toute implication dans le fléau MacDefender.
Mais la semaine dernière, des flics russes qui perquisitionné les bureaux de ChronoPay à Moscou trouvé autrement. Selon une source impliquée dans le raid, la police a trouvé des montagnes de preuves que les employés de ChronoPay assuraient un support technique et client pour une variété de faux programmes audiovisuels, y compris MacDefender. La photo ci-dessous a été prise par la police sur les lieux qui a découvert les identifiants d’assistance du site Web et les enregistrements d’appels des numéros 1-800 utilisés pour faire fonctionner les centres d’assistance.
Les enquêteurs russes ont également découvert que les ordinateurs ChronoPay prennent en charge l’infrastructure de Rx-Promotion, un programme de pharmacie en ligne malhonnête qui a versé des millions de dollars aux spammeurs pour promouvoir des sites Web proposant des contrefaçons de médicaments sur ordonnance, y compris des analgésiques addictifs comme le Vicodin et l’oxycodone (Rx-Promotion apparaît également avoir fermé boutique après l’arrestation de Vrublevsky).
Informations de support pour MacDefender et d’autres faux produits audiovisuels – trouvés par la police russe sur un PC ChronoPay.
Group-IB, une société russe d’informatique judiciaire qui a aidé la police dans son enquête sur Vrublevsky, a déclaré que son arrestation et les perquisitions ultérieures du bureau de ChronoPay symbolisent l’intérêt possible des forces de l’ordre russes à mettre fin au blanchiment de l’argent gagné en vendant médicaments contrefaits et faux AV.
« Si les allégations contre ChronoPay sont vraies, nous devrions nous attendre à une diminution significative des revenus perçus par les cybercriminels dans les segments appropriés du marché noir dans un avenir proche », a déclaré Maxim Suhanovspécialiste en criminalistique informatique chez Group-IB.
Ridiculement rentable
Compte tenu du statut de faux AV en tant que vache à lait fiable, l’industrie est susceptible de rebondir rapidement. Fake AV est extrêmement rentable, en grande partie parce qu’il est facilement franchisé.
Les affiliés individuels peuvent rapidement gagner beaucoup d’argent. Les faux réseaux de distribution AV paient les affiliés entre 25 et 35 dollars chaque fois qu’une victime fournit une carte de crédit pour payer le logiciel indésirable.
Plus important encore, les faux affiliés AV peuvent externaliser la majorité de leur travail. Damon McCoy, chercheur à l’Université de Californie à Santa Diego, a étudié la fausse industrie audiovisuelle. Il a découvert que les faux antivirus peuvent être extrêmement rentables lorsqu’ils sont installés via des programmes de paiement par installation (PPI). Les réseaux PPI sous-traitent le déploiement du logiciel malveillant à des affiliés qui sont payés pour mille installations (le taux de paiement varie en fonction de l’emplacement géographique des PC victimes).
McCoy a déclaré que les faux affiliés AV peuvent acheter 10 000 installations de leurs programmes effrayants à très bas prix. « Pour 10 000 installations, [the PPI networks] vous facturera normalement environ 900 $, mais si vous les pressez un peu, ils descendront à 750 $ », a déclaré McCoy.
Dans une analyse de l’industrie du faux AV publiée le mois dernier, McCoy et d’autres chercheurs de l’UCSD ont découvert que les faux AV affiliés peuvent s’attendre à ce qu’une personne sur 50 qui a un faux AV installé sur leurs systèmes paie pour le logiciel.
« Si vous faites le calcul, c’est presque comme si vous imprimiez de l’argent », a déclaré McCoy. « Vous pourriez payer 75 $ aux réseaux PPI pour obtenir 1 000 fausses installations AV. Et si vous aviez un taux de conversion moyen d’un sur 50, faisant entre 25 $ et 35 $ sur chaque installation, cela équivaut à environ 20 ventes – ou de manière conservatrice 500 $ pour mille installations. Ainsi, vous payez quelqu’un 75 $ et vous pouvez vous attendre à faire quatre ou cinq fois votre investissement. L’économie de ce marché est ridiculement rentable, et il est facile de comprendre pourquoi les faux antivirus sont aujourd’hui la méthode de choix pour monétiser les botnets.