据 KrebsOnSecurity 报道,一名乌克兰男子因涉嫌与一个活跃的黑客组织合谋从美国企业窃取数千万美元,于 2012 年被起诉,目前在意大利被捕,已被美国拘留。
据接近调查的消息人士透露,来自乌克兰顿涅茨克市(由俄罗斯控制)的41岁男子尤里·伊戈列维奇·雷布佐夫此前在美国联邦起诉文件中仅以其网名“ MrICQ ”出现。根据内布拉斯加州检察官提交的一份13年前的起诉书(PDF),MrICQ是名为“ Jabber Zeus ”的网络犯罪集团的开发人员。
图片:lockedup.wtf。
Jabber Zeus这个名字来源于他们使用的恶意软件——一种定制版的ZeuS银行木马——该木马会窃取银行登录凭证,并在每次有新受害者在金融机构网站输入一次性密码时,向该团伙发送一条Jabber即时消息。该团伙主要针对中小企业,并且是所谓“浏览器中间人攻击”的早期先驱之一。这种恶意软件可以悄无声息地拦截受害者在网页表单中提交的任何数据。
一旦入侵受害公司的账户,Jabber Zeus团伙就会篡改公司的工资单,增加数十名“洗钱骡子”。这些人是通过精心设计的居家办公骗局招募的,专门负责处理银行转账。这些“骡子”会将扣除佣金后窃取的工资款项,通过电汇转给身在乌克兰和英国的其他“骡子”。
2012年针对Jabber Zeus团伙的起诉书中,MrICQ被列为“约翰·多伊3号”,并称此人负责处理新受害者的通知。美国司法部表示,MrICQ还帮助该团伙通过电子货币兑换服务洗钱。
两名熟悉“Jabber Zeus”调查的消息人士称,雷布佐夫在意大利被捕,但具体日期和逮捕情况尚不清楚。意大利最高法院发布的近期裁决摘要(PDF)显示,2025年4月,雷布佐夫试图避免被引渡到美国的最终上诉被驳回。
根据照片网站lockedup[.]wtf 的信息,Rybtsov 于 10 月 9 日抵达内布拉斯加州,并因美国联邦调查局(FBI) 的逮捕令而被拘留。
数据泄露追踪服务Constella Intelligence从商业概况网站 bvdinfo[.]com 中发现泄露记录,显示 41 岁的 Yuriy Igorevich Rybtsov 在顿涅茨克市 Barnaulska 街 59 号的一栋楼内工作。Constella 对该地址的进一步搜索发现,同一栋公寓楼内还有一家公司注册在Vyacheslav “Tank” Penchukov名下,他是乌克兰 Jabber Zeus 黑客组织的头目。
照片中,Vyacheslav “Tank” Penchukov 以“DJ Slava Rich”的身份在乌克兰演出,这张照片来自社交媒体,日期不详。
彭丘科夫于2022年在前往瑞士与妻子会面的途中被捕。去年,内布拉斯加州一家联邦法院 判处彭丘科夫18年监禁,并责令其支付超过7300万美元的赔偿金。
劳伦斯·鲍德温是myNetWatchman的创始人,这是一家位于佐治亚州的威胁情报公司,该公司从 2009 年开始追踪和破坏 Jabber Zeus 黑客组织。myNetWatchman 秘密获得了乌克兰黑客使用的 Jabber 聊天服务器的访问权限,使鲍德温能够窃听 MrICQ 和其他 Jabber Zeus 成员之间的日常对话。
鲍德温将这些实时聊天记录分享给了多个州和联邦执法机构,以及本记者。2010年至2013年间,我每天都要花几个小时提醒全国各地的小企业,他们的工资账户即将被这些网络犯罪分子盗空。
这些通知以及鲍德温的不懈努力,为无数潜在受害者挽回了大量损失。然而,在大多数情况下,我们为时已晚。尽管如此,被窃取的Jabber Zeus群聊记录为本文提供了数十篇报道的基础,这些报道讲述了小企业如何就六位数甚至七位数的财务损失与银行对簿公堂。
鲍德温表示,Jabber Zeus 团伙在多个方面都远超同行。首先,截获的聊天记录显示,他们直接与 Zeus 木马的原始作者——俄罗斯人叶夫根尼·米哈伊洛维奇·博加乔夫合作,创建了一个高度定制化的僵尸网络。博加乔夫长期以来一直位列美国联邦调查局的“十大通缉犯”名单。联邦政府悬赏 300 万美元,征集能够帮助逮捕博加乔夫的信息。
叶夫根尼·M·博加乔夫,照片拍摄日期不详。
Jabber Zeus 的核心创新之处在于,每当有新的受害者在模仿其金融机构的钓鱼页面上输入一次性密码时,MrICQ 都会收到警报。该团伙内部将这个组件称为“小妖精”(下方 myNetWatchman 的视频展示了它的工作原理)。Jabber Zeus 实际上会重写受害者浏览器中显示的 HTML 代码,从而拦截受害者银行发送的用于多因素身份验证的任何密码。
“这些人入侵的受害者数量如此之多,以至于他们被淹没在被盗银行凭证的洪流中,”鲍德温告诉KrebsOnSecurity。“但Leprechaun的全部意义就在于隔离出价值最高的凭证——开启了双因素认证的商业银行账户。他们知道这些是更有利可图的目标,因为这些账户显然有更多的资金需要保护。”
鲍德温表示,Jabber Zeus 木马还包含一个自定义的“反向连接”组件,使黑客能够通过受害者自己受感染的电脑来转移其银行账户接管操作。
他说:“Jabber Zeus 团伙实际上是通过受害者的 IP 地址,或者通过远程控制功能,完全模拟受害者的设备,从而连接到受害者的银行账户。这种木马程序就像热刀切黄油一样,轻易地摧毁了当时人们认为最先进的安全网上银行。”
尽管“Jabber Zeus”团队与Zeus病毒的作者直接联系,但myNetWatchman截获的聊天记录显示,博加乔夫经常无视该团队的求助。政府称,“Jabber Zeus”团队的真正头目是马克西姆·雅库贝茨,一名38岁的乌克兰裔俄罗斯公民,他的黑客代号是“ Aqua ”。
据称是邪恶集团头目的马克西姆·“阿夸”·雅库贝茨。图片来源:FBI
鲍德温截获的 Jabber 聊天记录显示,Aqua 几乎每天都与 MrICQ、Tank 和其他黑客团队成员互动,经常从俄罗斯远程协助该组织的洗钱和提现活动。
政府称,雅库贝茨/阿夸后来成为一个至少由 17 名黑客组成的精英网络犯罪团伙的头目,该团伙内部自称为“邪恶公司”。邪恶公司的成员开发并使用了Dridex (又名Bugat )木马,帮助他们从美国和欧洲数百家受害公司窃取了超过 1 亿美元。
这篇2019年关于政府悬赏500万美元缉拿雅库贝茨的报道,收录了阿夸、坦克、博加乔夫和其他“喋喋不休宙斯”成员讨论我撰写的关于他们受害者的报道的对话节选。鲍德温和我都接受了BBC的深度采访, BBC推出了一档全新的每周六集播客节目,深入探讨了“邪恶公司”的历史。第一集聚焦于宙斯的演变,第二集则讲述了前FBI探员吉姆·克雷格对该组织的调查。
图片:https://ift.tt/4wBnmdh
原文: https://krebsonsecurity.com/2025/11/alleged-jabber-zeus-coder-mricq-in-u-s-custody/