美国已将创建Vawtrak(又名NeverQuest或Snifula)恶意软件的黑客StanislavVitaliyevichLisov驱逐回俄罗斯。俄罗斯人Lisov使用Vawtrak窃取了数百万份文件,包括用户名、密码以及这些文件的一些安全问题和答案。Vawtrak是一种功能强大的新软件变体,研究人员认为它是全球系统中最危险的恶意软件之一,它可以窃取我们的个人信息并访问我们的网上银行和其他金融账户而不留下任何痕迹。让我们来看看AVG研究员JakubKroustek对这个变种软件Vawtrak的详细分析:Vawtrak通过分布在Tor网络上的加密图标发送和接收数据,以窃取隐藏的受害者的财务信息、FTP凭证和私钥(通过隐藏更新favicons中的文件,每个大约4kB)在攻击者的PC上执行银行交易,然后通过恶意软件下载器(例如Zemot、Chaintor)、漏洞利用工具包或通过走私下载(例如垃圾邮件附件或恶意链接)来感染受害者。AVG检测到Vawtrak可以采用多种方法窃取受害者密码(例如:第一种方法是基于浏览器发送的数据进行监控;第二种方法是Pony密码窃取模块提供);并使用Tor2Web代理从中利用从安全的角度来看,通过使用Tor2web代理,它可以访问Tor上隐藏的Web服务来托管更新,而无需安装Torbrowser等专业软件。此外,Vawtrak与远程服务器之间的通信是通过SSL进行的,这进一步增加了操作的保密性。一旦进入受害者的机器,Vawtrak将执行以下操作:禁用防病毒保护与远程C&C服务器通信从远程服务器执行命令,发送窃取的信息下载自身的新版本,网络注入框架将具有标准API的功能注入到新进程中以窃取密码、数字证书、浏览器历史记录和cookie记录击键在AVI视频中捕获用户在桌面上的操作打开VNC11(虚拟网络计算)通道以远程控制受感染的计算机创建SOCKS12代理通过受害者计算机进行通信的服务器更改或删除浏览器设置(如禁用FirefoxSPDY13)和历史记录,使黑客可以利用Vawtrak成功控制受感染设备登录受害者的网上银行账户,然后将资金转入账户并进行一些在线交易活动。Vawtrak支持在InternetExplorer、Firefox和Chrome三大浏览器中运行,其中加拿大、捷克、美国、英国和德国受Vawtrak恶意软件感染较多。对于此类恶意软件的威胁,建议您首先在计算机上安装信誉良好的安全软件,并保持更新以防止安全漏洞。最后,请远离非法网站,删除来自不明人士的电子邮件,不要忽视帮助您更新Java、FlashPlayer和类似程序的通知。Lisov和他的同谋使用Vawtrak窃取了至少440万美元。利索夫于2017年1月在西班牙被捕,一年后被引渡到美国。终于在2019年11月,他承认了使用恶意软件获取银行凭证并从银行账户窃取资金的指控,并被纽约南区联邦检察官杰弗里·伯曼判处4年徒刑。年监禁和三年监督释放,并被勒令没收50,000美元并支付近100万美元的赔偿金。今年6月10日,利索夫从宾夕法尼亚州的一所监狱被转移,并在移民拘留所度过了六天,然后于6月16日被送往纽约肯尼迪国际机场,登上飞往莫斯科的航班。俄罗斯驻纽约总领事馆发言人阿列克谢·托波尔斯基说:“利索夫抵达谢列梅捷沃国际机场时没有戴手铐,他的妻子达里娅·利索娃已经去世。在机场等候,欢迎他回家。”
