Сервис AVCheck использовался киберпреступниками для проверки, обнаруживается ли их вредоносное ПО коммерческими антивирусными программами. С его помощью хакеры тестировали малварь перед запуском в реальных условиях.
На официальном сайте сервиса (avcheck[.]net) размещен баннер, сообщающий о закрытии ресурса Министерством юстиции США, ФБР, Секретной службой США и полицией Нидерландов (Politie).
По информации голландских правоохранителей, AVCheck являлся одним из крупнейших международных сервисов для обхода антивирусов, который помогал киберпреступникам оценивать скрытность их малвари, а также ее способности по уклонению от обнаружения.
«Отключение сервиса AVCheck является важным шагом в борьбе с организованной киберпреступностью. Благодаря этому мы пресекаем деятельность киберпреступников на самом раннем этапе и предотвращаем нанесение вреда», — пишут в Politie.
Также сообщается, что следователи обнаружили доказательства, связывающие администраторов AVCheck с криптор-сервисами Cryptor[.]biz и Crypt[.]guru. Первый из них также был закрыт правоохранителями, а второй отключился сам.
Напомним, что крипторы используются авторами и операторами малвари, помогая им шифровать и обфусцировать полезные нагрузки, чтобы сделать их более незаметными для антивирусов. Киберпреступники используют криптор-сервисы для обфускации вредоносного ПО, затем тестируют его с помощью подобных AVCheck сервисов, чтобы убедиться, что малварь не обнаруживается защитными продуктами. И только после этого малварь начинают применять в реальных атаках.
Стоит отметить, что перед ликвидацией AVCheck правоохранители разместили на сайте поддельную страницу для входа, где пользователей, пытавшихся авторизоваться, предупреждали о правовых рисках, связанных с использованием сервиса. Кроме того, таким способом власти собрали данные о пользователях.
В заявлении Министерства юстиции США сообщается, что отключение сервиса произошло 27 мая 2025 года. Также поясняется, что установить незаконный характер AVCheck и выявить его связи с вымогательскими атаками на американские организации, удалось благодаря работе тайных агентов, которые совершали покупки под видом клиентов и помогали изучить сервис изнутри.
Ликвидация AVCheck и крипторов стала частью международной операции правоохранительных органов под названием «Эндшпиль» (Operation Endgame). Весной 2025 года в рамках этой кампании было изъято 300 серверов и 650 доменов, использовавшихся для содействия вымогательским атакам, а также ликвидирован ботнет DanaBot и арестованы клиенты Smokeloader.