Известный эксперт по безопасности Брайан Кребс обвинил российскую процессинговую компанию ChronoPay в участии в недавних атаках на Mac-пользователей с помощью лжеантивируса Mac Defender. В ChronoPay свою причастность к заражениям "маков" отрицают.

В недавних хакерских атаках на сообщество Mac-пользователей оказалась замешана основанная российская процессинговая компания ChronoPay. Об этом в своем блоге сообщил бывший журналист, а ныне специалист по информационной безопасности Брайан Кребс. С начала мая 2011 г. тысячи пользователей компьютеров Mac оказались жертвами фальшивого антивируса Mac Defender, основной целью которого является выманивание денег с кредитных карт, а вовсе не борьба с вредоносным ПО. Действовал Mac Defender (также известный как MacProtector или MacSecurity) следующим образом. Пользователи, попавшие на зараженные сайты (через поиск картинок Google), получали предупреждение о том, что на их компьютере обнаружены вирусы. И если в настройках в веб-браузера Safari было разрешено автоматически загружать безопасные файлы, на компьютере жертвы тут же возникал и открывался установочный пакет. Пользователю достаточно было согласиться на установку, причем вводить пароль администратора не требовалось - хакеры обошли и этот слой защиты. После установки программы на экране компьютера продолжали возникать предупреждения о новых вирусах, а для пущей убедительности в Safari случайным образом открывались порно-сайты. В конце концов, пользователю предлагалось купить полную версию программы, поскольку бесплатная версия вирусы не удаляет. На самом деле вредоносной программой как раз являлась Mac Defender, которая никаких вирусов не удаляла, а лишь выманивала деньги.

По сообщению ZDNet, за 25 дней в службу поддержки Apple поступило от 60 тыс. до 125 тыс. обращений, связанных с заражением фальшивым антивирусом, а в первые дни более половины звонков, поступавших в службу, были связаны с программой Mac Defender. Однако компания пришла на помощь не сразу. Сначала, согласно внутренней инструкции, персоналу Apple было в строжайшей форме запрещено рассказывать о возможных способах удаления вредоносной программы. На то, чтобы выпустить письменную инструкцию для удаления Mac Defender, вендору потребовалось около 3 недель. После выхода статьи всех пользователей, обратившихся в техподдержку по этому поводу, стали отсылать на соответствующую публикацию. Статья также была переведена на русском языке. В ней также описано, как избежать установки вредоносной программы. Сейчас же Брайан Кребс пишет, что оплачивать лжеантивирус предлагалось через домен mac-defence.com (об этом сообщается на форумах ). В других случаях упоминался адрес macbookprotection.com. Просмотрев данные о регистраторах этих доменов по команде Whois, эксперт выяснил, что домены зарегистрированы на электронный адрес fc@mail-eye.com. Этот же адрес в прошлом году фигурировал во внутренних документах ChronoPay, появившихся в интернете в результате утечки.