窃取440万美元的黑客被美国驱逐回俄罗斯

美国已将创造Vawtrak(又名NeverQuest或Snifula)恶意软件的黑客Stanislav Vitaliyevich Lisov驱逐回俄罗斯。

俄罗斯男子Lisov曾利用Vawtrak盗取了数百万张证件，还包括这些证件的用户名、密码以及一些密保问答等信息。

Vawtrak是一种强大的新变种软件，被研究人员认为是全球系统最危险的恶意代码之一，它可以不留痕迹地窃取我们的个人信息，随意访问我们的网上银行和其他金融账户。

让我们来看一看AVG公司的研究员Jakub Kroustek对这个变种软件Vawtrak的详细分析：

Vawtrak是通过在Tor网络上分布的加密图标发送和接收数据，以窃取财务信息，FTP凭证，私钥并从受害者的PC中隐藏(将更新文件藏在网站图标中，每个图标约为4 kB)其活动来执行银行交易，然后通过恶意软件下载器(例如Zemot，Chaintor)，漏洞利用工具包或通过偷渡式下载(例如垃圾邮件附件或恶意链接)感染受害者。

AVG检测到Vawtrak可以采用多种方法来窃取受害者的密码(例如：第一种方法基于监视Web浏览器发送的数据;第二种方法由Pony密码窃取模块提供);并使用Tor2Web代理从其开发人员处接收更新,从安全的角度来看，通过使用Tor2web代理，它可以访问Tor上隐藏的Web服务来托管更新，而无需安装Torbrowser等专业软件，此外，Vawtrak与远程服务器的通信是通过SSL完成的，这进一步增加了操作的隐秘性。

在进入受害者的机器后，Vawtrak将会执行以下操作：

• 禁用防病毒保护
• 与远程C&C服务器通信
• 从远程服务器执行命令，发送被盗的信息
• 下载其自身的新版本和Web注入框架
• 将具有标准API的函数注入到新流程中
• 窃取密码，数字证书，浏览器历史记录和cookie
• 记录击键
• 在AVI视频中捕获用户在桌面上的操作
• 打开VNC11(虚拟网络计算)通道，远程控制受感染的计算机
• 创建 SOCKS12 代理服务器，通过受害者的计算机进行通信
• 更改或删除浏览器设置(例如禁用Firefox SPDY13)和历史记录

这样黑客就可以利用Vawtrak成功控制受感染的设备以登录受害者的在线银行帐户，然后将资金转入该帐户并进行一些线上交易活动。

Vawtrak支持在 Internet Explorer，Firefox和Chrome三种主要浏览器中运行，其中在加拿大，捷克共和国，美国，英国和德国受到Vawtrak恶意软件的感染较多。

对于此类恶意软件的威胁，建议大家首先在电脑上安装信誉良好的安全防护软件，此外应该将它保持在最新版本以防止安全漏洞，最后请远离非法网站，删除来自不明人士的邮件，以及不要理会提出帮你更新 Java、Flash Player 及相似程序的通知。

这次事件跨度很长，早从2012年6月开始，Lisov就一直运营着Vawtrak，并且管理着数百万个登录凭据被盗的服务器，Lisov和他的同谋利用Vawtrak至少窃取了440万美元。

Lisov于2017年1月在西班牙被捕，一年后他被引渡到美国。终于在2019年11月，他对有关使用恶意软件获取银行凭证和从银行帐户中窃取资金的指控认罪，于是在美国纽约南区被检察官杰弗里·伯曼(Geoffrey S.Berman)判处4年的监禁和3年的有监督释放，并被勒令没收5万美元且支付近一百万美元的赔偿。

今年6月10日Lisov从宾夕法尼亚州的一所监狱被转移,并在移民拘留所拘留了6天，然后他于6月16日被送到纽约肯尼迪国际机场，登上了飞往莫斯科的航班。

俄罗斯驻纽约总领事馆发言人阿列克谢·托波尔斯基(Alexei Topolsky)表示：“Lisov抵达谢列梅捷沃国际机场时没有带手铐，他的妻子达里亚·利索娃(Darya Lisova)早已在机场等待，并欢迎他回家。”