Пользователи компьютеров Mac могут сказать спасибо Microsoft за подавление небольшого, но достаточно вредосносного ботнета. В понедельник по запросу компании федеральный судья штата Вирджиния приказал провайдеру VeriSign закрыть почти два десятка доменов, связанных с серверами, которые управляли ботнетом Kelihos.
Как сообщила Microsoft, в составе одного из этих доменов - cz.cc, находились машины, в течение нескольких недель весны прошлого года распространявшие большое количество поддельных антивирусных программ для машин Mac.
Поддельное ПО, названное «пугающим» (scareware) или «мошенническим» (rogueware), начало наносить вред пользователям в начале мая, и продолжалось это в течение двух месяцев. Как и аналогичное программное обеспечение, угрожающее ПК под управлением Windows (и гораздо более распространенное), зловредный софт для Mac рассылал сообщения пользователям компьютеров Apple, что их компьютер сильно заражен. После установки фальшивые антивирусные программы изводили пользователей всплывающими окнами и ложными предупреждениями, пока они не оплачивали приобретение бесполезной программы.
Microsoft отмечает, что домен cz.cc «вначале подвергся исследованию как хостинг субдоменов, отвечающий за распространение MacDefender», наиболее часто используемой программы-«пугалки» для Mac. Некоторые компании, действующие в сфере ИТ-безопасности, в мае-июне проанализировали MacDefender и согласились с таким утверждением Microsoft.
Французская компания Intego и британская Sophos заявили, что среди субдоменов, обслуживающих MacDefender, были и те, что входили в состав домена cz.cc, закрытого VeriSign. Дмитрий Бородачев, DатаРу Облако: Наше преимущество — мультивендорная модель предоставления облачных услуг
Чет Вишневски (Chet Wisniewski), исследователь по безопасности компании Sophos, говоря о механизме перенаправления пользователей от взломанных сайтов на сайты с пугающим софтом для Mac, отметил, что имена сайтов, ведущих к MacDefender, были разнообразны и часто уже скомпрометированы, хотя входили в пространство домена .com. «Я не могу подтвердить, что MacDefender распространялся исключительно через cz.cc, но процент был высок».
Однако и Вишневски, и Питер Джеймс (Peter James) - представитель Intego, сказали, что эта акция Microsoft была, в значительной степени, спорной.
По словам Вишневски, MacDefender начал исчезать после ареста Павла Врублевского (Pavel Vrublevsky) в июне. Вишневски имел ввиду человека, обвиненного во взломе конкурента - российской компании ChronoPay, как утверждается, обрабатывавшей платежи по кредитным картам для распространителей ложного ПО. Арест Врублевского был результатом операции по прекращению в США и нескольких других странах деятельности киберпреступников, ответственных за распространение большого количества ПО scareware для ПК под Windows.
Тогда операция Trident Tribunal настигла преступников, которые предположительно, применяя scareware, инфицировали около миллиона компьютеров. В результате мошенники не получили $72 млн. доходов.
Джеймс согласен, что влияние MacDefender кажется, снизилось. «Я думаю, сочетание шума в прессе и аресты некоторых людей за создание поддельного антивируса остановили его действие или перевели в спящее состояние», - подчеркнул аналитик.
Подавление ботнета Kelihos проводилось в рамках операции под общим названием Operation b79.