Конец AVCheck — главный инкубатор вирусов стерли с лица цифровой карты

Один из самых известных подпольных сервисов для киберпреступников — AVCheck — всё. Его основной домен avcheck.net теперь демонстрирует баннер о конфискации, на котором размещены логотипы Министерства юстиции США, ФБР, Секретной службы и полиции Нидерландов. Это результат международной операции , проведённой в рамках глобального преследования разработчиков и операторов вредоносного ПО.

AVCheck работал по модели CAV — Counter Antivirus, представляя собой онлайн-площадку, где киберпреступники могли предварительно протестировать свои вредоносы на незаметность. Прежде чем отправить файл в «свободное плавание», авторы проверяли, насколько успешно он обходил средства защиты. Если утилита распознавалась, её модифицировали и повторно прогоняли, пока не достигали полной прозрачности для детекторов.

Незадолго до окончательной ликвидации на главной странице сайта появилась фальшивая форма авторизации. При попытке входа посетители не получали привычного доступа к функционалу сервиса, а вместо этого видели предупреждение о правовых последствиях использования подобных инструментов. Цель - одновременно деморализовать потенциальных клиентов и собрать технические данные о посетителях.

Параллельно были собраны доказательства, связывающие операторов AVCheck с двумя другими сервисами из той же преступной экосистемы — Cryptor.biz и Crypt.guru. Первый ресурс также был изъят правоохранителями, второй — перестал функционировать. Оба специализировались на шифровании вредоносного кода — это следующий логический шаг после тестирования: крипторы "упаковывают" вредоносы таким образом, чтобы те не выдавали себя даже при глубокой проверке.

По заявлению ФБР, такие CAV-сервисы представляют собой инфраструктурную основу киберпреступного мира. Они не просто способствуют распространению зловредных программ — они позволяют атакующим доводить их до идеала, подбирать оптимальные способы обхода антивирусов , межсетевых экранов, систем анализа и поведенческого детектирования. В результате компании и частные лица сталкиваются уже с высокоточным оружием, многократно проверенным и отлаженным.

Разоблачить AVCheck и связанные с ним сервисы помогли агенты под прикрытием. Им удалось совершить ряд покупок на сайтах, выдав себя за обычных клиентов. Транзакции позволили не только изучить внутреннюю механику работы платформ, но и собрать доказательства их преступного назначения. Анализ e-mail-адресов, связанных аккаунтов и других метаданных вывел следователей на участников группировок, причастных к атакам с применением программ-вымогателей , включая инциденты на территории США и, в частности, в районе Хьюстона.

По данным Мин юста , операция по отключению AVCheck и его "сестринских" криптор-сервисов завершилась 27 мая 2025 года. Конфискация доменов стала одним из пунктов масштабной международной кампании под названием Operation Endgame. Это многоэтапная спецоперация, в рамках которой правоохранительные органы уже изъяли более 300 серверов и 650 доменов, обеспечивавших функционирование вредоносной инфраструктуры, связанной с атаками программ-вымогателей.

Ранее в ходе той же операции были выведены из строя инфраструктуры таких известных вредоносов, как Danabot и Smokeloader — обоих активно использовали в нападениях на корпоративные сети и частных пользователей по всему миру.

По мнению экспертов, важность отключения AVCheck заключается не только в ликвидации отдельного сервиса. Это удар по модели подготовки атак на ранней стадии. Уничтожив инструмент тестирования, правоохранительные органы фактически вмешиваются в фазу R&D киберпреступности, снижая общее качество и эффективность кампаний на старте.

Для жертв потенциальных атак это может означать меньше проникновений, меньше успешных обходов защитных систем и больше шансов предотвратить заражение. А для самих хакеров — рост риска и затрат.