美國已將創(chuàng)造Vawtrak(又名NeverQuest或Snifula)惡意軟件的黑客Stanislav Vitaliyevich Lisov驅(qū)逐回俄羅斯。

俄羅斯男子Lisov曾利用Vawtrak盜取了數(shù)百萬張證件，還包括這些證件的用戶名、密碼以及一些密保問答等信息。

Vawtrak是一種強(qiáng)大的新變種軟件，被研究人員認(rèn)為是全球系統(tǒng)最危險(xiǎn)的惡意代碼之一，它可以不留痕跡地竊取我們的個(gè)人信息，隨意訪問我們的網(wǎng)上銀行和其他金融賬戶。

讓我們來看一看AVG公司的研究員Jakub Kroustek對(duì)這個(gè)變種軟件Vawtrak的詳細(xì)分析：

Vawtrak是通過在Tor網(wǎng)絡(luò)上分布的加密圖標(biāo)發(fā)送和接收數(shù)據(jù)，以竊取財(cái)務(wù)信息，F(xiàn)TP憑證，私鑰并從受害者的PC中隱藏(將更新文件藏在網(wǎng)站圖標(biāo)中，每個(gè)圖標(biāo)約為4 kB)其活動(dòng)來執(zhí)行銀行交易，然后通過惡意軟件下載器(例如Zemot，Chaintor)，漏洞利用工具包或通過偷渡式下載(例如垃圾郵件附件或惡意鏈接)感染受害者。

AVG檢測到Vawtrak可以采用多種方法來竊取受害者的密碼(例如：第一種方法基于監(jiān)視Web瀏覽器發(fā)送的數(shù)據(jù);第二種方法由Pony密碼竊取模塊提供);并使用Tor2Web代理從其開發(fā)人員處接收更新,從安全的角度來看，通過使用Tor2web代理，它可以訪問Tor上隱藏的Web服務(wù)來托管更新，而無需安裝Torbrowser等專業(yè)軟件，此外，Vawtrak與遠(yuǎn)程服務(wù)器的通信是通過SSL完成的，這進(jìn)一步增加了操作的隱秘性。

在進(jìn)入受害者的機(jī)器后，Vawtrak將會(huì)執(zhí)行以下操作：

• 禁用防病毒保護(hù)
• 與遠(yuǎn)程C&C服務(wù)器通信
• 從遠(yuǎn)程服務(wù)器執(zhí)行命令，發(fā)送被盜的信息
• 下載其自身的新版本和Web注入框架
• 將具有標(biāo)準(zhǔn)API的函數(shù)注入到新流程中
• 竊取密碼，數(shù)字證書，瀏覽器歷史記錄和cookie
• 記錄擊鍵
• 在AVI視頻中捕獲用戶在桌面上的操作
• 打開VNC11(虛擬網(wǎng)絡(luò)計(jì)算)通道，遠(yuǎn)程控制受感染的計(jì)算機(jī)
• 創(chuàng)建 SOCKS12 代理服務(wù)器，通過受害者的計(jì)算機(jī)進(jìn)行通信
• 更改或刪除瀏覽器設(shè)置(例如禁用Firefox SPDY13)和歷史記錄

[[331140]]

這樣黑客就可以利用Vawtrak成功控制受感染的設(shè)備以登錄受害者的在線銀行帳戶，然后將資金轉(zhuǎn)入該帳戶并進(jìn)行一些線上交易活動(dòng)。 

Vawtrak支持在 Internet Explorer，F(xiàn)irefox和Chrome三種主要瀏覽器中運(yùn)行，其中在加拿大，捷克共和國，美國，英國和德國受到Vawtrak惡意軟件的感染較多。

對(duì)于此類惡意軟件的威脅，建議大家首先在電腦上安裝信譽(yù)良好的安全防護(hù)軟件，此外應(yīng)該將它保持在最新版本以防止安全漏洞，最后請(qǐng)遠(yuǎn)離非法網(wǎng)站，刪除來自不明人士的郵件，以及不要理會(huì)提出幫你更新 Java、Flash Player 及相似程序的通知。

這次事件跨度很長，早從2012年6月開始，Lisov就一直運(yùn)營著Vawtrak，并且管理著數(shù)百萬個(gè)登錄憑據(jù)被盜的服務(wù)器，Lisov和他的同謀利用Vawtrak至少竊取了440萬美元。

Lisov于2017年1月在西班牙被捕，一年后他被引渡到美國。終于在2019年11月，他對(duì)有關(guān)使用惡意軟件獲取銀行憑證和從銀行帳戶中竊取資金的指控認(rèn)罪，于是在美國紐約南區(qū)被檢察官杰弗里·伯曼(Geoffrey S.Berman)判處4年的監(jiān)禁和3年的有監(jiān)督釋放，并被勒令沒收5萬美元且支付近一百萬美元的賠償。

今年6月10日Lisov從賓夕法尼亞州的一所監(jiān)獄被轉(zhuǎn)移,并在移民拘留所拘留了6天，然后他于6月16日被送到紐約肯尼迪國際機(jī)場，登上了飛往莫斯科的航班。

俄羅斯駐紐約總領(lǐng)事館發(fā)言人阿列克謝·托波爾斯基(Alexei Topolsky)表示：“Lisov抵達(dá)謝列梅捷沃國際機(jī)場時(shí)沒有帶手銬，他的妻子達(dá)里亞·利索娃(Darya Lisova)早已在機(jī)場等待，并歡迎他回家。”