美国逮捕Jabber Zeus恶意软件程序员MrICQ

乌克兰男子尤里·伊戈列维奇·雷布佐夫因涉嫌参与Jabber Zeus网络犯罪团伙在美国被捕。该团伙使用定制版ZeuS银行木马窃取数千万美元,通过"中间人浏览器"攻击拦截双因素认证码,并利用钱骡网络转移赃款。

美国逮捕Jabber Zeus恶意软件程序员MrICQ

据KrebsOnSecurity了解,一名2012年被起诉的乌克兰男子因涉嫌与一个多产的黑客团体合谋从美国企业窃取数千万美元,已在意大利被捕,目前被美国拘留。

调查消息人士称,41岁的尤里·伊戈列维奇·雷布佐夫来自乌克兰俄罗斯控制的顿涅茨克市,此前在美国联邦起诉文件中仅以其网络代号"MrICQ"被提及。根据内布拉斯加州检察官提交的一份13年前的起诉书,MrICQ是一个名为"Jabber Zeus"的网络犯罪团伙的开发人员。

Jabber Zeus的名称来源于他们使用的恶意软件——定制版的ZeuS银行木马——该木马窃取银行登录凭证,并在新受害者在金融机构网站输入一次性密码时向该团伙发送Jabber即时消息。该团伙主要针对中小型企业,并且是所谓的"中间人浏览器"攻击的早期先驱,这种恶意软件可以静默拦截受害者在基于网页的表单中提交的任何数据。

一旦进入受害公司的账户,Jabber Zeus团伙就会修改公司的工资单,添加数十个"钱骡",这些人是通过精心设计的在家工作计划招募来处理银行转账的。钱骡随后会通过电汇将任何被盗的工资存款减去他们的佣金转给在乌克兰和英国的其他钱骡。

2012年针对Jabber Zeus团伙的起诉书将MrICQ列为"John Doe #3",并表示此人负责处理新受害者的入侵通知。司法部表示,MrICQ还通过电子货币兑换服务帮助该团伙清洗抢劫所得。

两位熟悉Jabber Zeus调查的消息人士称,雷布佐夫在意大利被捕,尽管其被捕的确切日期和情况仍不清楚。意大利最高法院发布的最新裁决摘要指出,2025年4月,雷布佐夫为避免引渡到美国而提出的最终上诉被驳回。

根据入狱照网站lockedup[.]wtf,雷布佐夫于10月9日抵达内布拉斯加州,并根据美国联邦调查局的逮捕令被拘留。

数据泄露追踪服务Constella Intelligence发现,来自企业信息网站bvdinfo[.]com的被入侵记录显示,一名41岁的尤里·伊戈列维奇·雷布佐夫在顿涅茨克市巴瑙尔斯卡街59号的一栋大楼工作。在Constella中对此地址的进一步搜索发现,同一公寓楼被一个注册给Vyacheslav “Tank” Penchukov的企业共享,他是Jabber Zeus团伙在乌克兰的领导人。

Penchukov于2022年前往瑞士与妻子会面时被捕。去年,内布拉斯加州联邦法院判处Penchukov 18年监禁,并命令他支付超过7300万美元的赔偿金。

劳伦斯·鲍德温是myNetWatchman的创始人,这是一家位于乔治亚州的威胁情报公司,于2009年开始追踪并破坏Jabber Zeus团伙。myNetWatchman秘密访问了乌克兰黑客使用的Jabber聊天服务器,使鲍德温能够窃听MrICQ和其他Jabber Zeus成员之间的日常对话。

鲍德温与多个州和联邦执法机构以及本记者共享了这些实时聊天记录。在2010年至2013年间,我每天花费数小时向全国各地的中小型企业发出警报,告知他们的工资账户即将被这些网络犯罪分子清空。

这些通知以及鲍德温的不懈努力,为无数潜在受害者节省了大量资金。然而,在大多数情况下,我们已经为时已晚。尽管如此,被盗的Jabber Zeus群聊为这里发布的数十篇关于中小型企业因六位数和七位数的财务损失在法庭上与银行抗争的故事提供了基础。

鲍德温表示,Jabber Zeus团伙在几个方面远远领先于同行。首先,他们被拦截的聊天记录显示,他们与原始Zeus木马的作者——长期在FBI"头号通缉犯"名单上的俄罗斯人叶夫根尼·米哈伊洛维奇·博加乔夫——直接合作,创建了一个高度定制的僵尸网络。联邦调查局悬赏300万美元征集导致博加乔夫被捕的信息。

Jabber Zeus的核心创新是,每当新受害者在其金融机构的仿冒钓鱼页面输入一次性密码时,MrICQ都会收到警报。该团伙内部将此组件称为"Leprechaun"。Jabber Zeus实际上会重写受害者浏览器中显示的HTML代码,使他们能够拦截受害者银行为多因素认证发送的任何验证码。

“这些家伙入侵了如此大量的受害者,以至于他们被海量的被盗银行凭证淹没,“鲍德温告诉KrebsOnSecurity。“但Leprechaun的整个重点是隔离最高价值的凭证——那些开启了双因素认证的商业银行账户。他们知道这些是更有价值的目标,因为它们显然有更多的资金需要保护。”

鲍德温表示,Jabber Zeus木马还包括一个定制的"反向连接"组件,允许黑客通过受害者自己受感染的PC中继他们的银行账户接管。

“Jabber Zeus团伙实际上是从受害者的IP地址,或通过远程控制功能并完全模拟设备,连接到受害者的银行账户,“他说。“那个木马在当时被认为是尖端的在线银行安全措施面前,就像热刀切黄油一样。”

尽管Jabber Zeus团伙与Zeus作者直接联系,但myNetWatchman拦截的聊天记录显示,博加乔夫经常忽视该团伙的求助请求。政府表示,Jabber Zeus团伙的真正领导人是马克西姆·雅库贝茨,一名38岁拥有俄罗斯公民身份的乌克兰男子,黑客代号为"Aqua”。

鲍德温拦截的Jabber聊天记录显示,Aqua几乎每天与MrICQ、Tank和黑客团队的其他成员互动,经常从俄罗斯远程协助该团伙的钱骡和套现活动。

政府表示,雅库贝茨/Aqua后来成为一个由至少17名黑客组成的精英网络犯罪团伙的领导人,该团伙内部自称"Evil Corp”。Evil Corp成员开发并使用了Dridex木马,帮助他们从美国和欧洲的数百家受害公司中窃取了超过1亿美元。

comments powered by Disqus
© 2020 - 2026 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次