Alleged Jabber Zeus Coder ‘MrICQ’ in U.S. Custody

Un développeur clé de la fraude bancaire Jabber Zeus arrêté

Yuriy Igorevich Rybtsov, connu sous le pseudonyme en ligne “MrICQ”, a été appréhendé en Italie avant d’être remis aux autorités américaines. Cet homme de 41 ans, originaire de Donetsk en Ukraine, était recherché depuis 2012 pour sa participation présumée à un groupe de cybercriminalité appelé “Jabber Zeus”.

Ce groupe utilisait une version modifiée du malware bancaire ZeuS pour dérober les identifiants bancaires de dizaines de millions de dollars à des entreprises américaines, principalement des PME. Ils étaient des pionniers des attaques de type “man-in-the-browser”, interceptant discrètement les informations soumises via des formulaires web. Les fonds volés étaient ensuite blanchis via un réseau de “mules financières” recrutées par des schémas de travail à domicile.

Rybtsov, identifié dans les documents d’inculpation comme “John Doe #3”, était responsable de la réception des notifications de nouvelles victimes et aidait au blanchiment des fonds via des services de change électronique. Son arrestation fait suite à une procédure d’extradition intentée après qu’il a perdu un appel devant la Cour suprême italienne en avril 2025. Il est arrivé aux États-Unis le 9 octobre, détenu en vertu d’un mandat du FBI.

Points Clés :

• Arrestation de Yuriy Igorevich Rybtsov (“MrICQ”) : Impliqué dans le groupe Jabber Zeus, il est maintenant aux États-Unis.
• Groupe Jabber Zeus : Cybercriminalité spécialisée dans le vol de fonds d’entreprises via des malwares et des attaques sophistiquées.
• Méthodes d’attaque : Utilisation d’une version personnalisée du ZeuS Trojan, attaques “man-in-the-browser”, gestion de mules financières pour le blanchiment.
• Connexions : Le groupe collaborait potentiellement avec Evgeniy Mikhailovich Bogachev, l’auteur original du ZeuS Trojan, et était dirigé par Maksim Yakubets (“Aqua”), qui a ensuite mené le groupe “Evil Corp”.

Vulnérabilités et Techniques :

• Malware ZeuS Trojan (personnalisé par Jabber Zeus) : Vol de données bancaires.
• Attaques “Man-in-the-Browser” : Interception silencieuse des données soumises dans les formulaires web.
• Système “Leprechaun” : Composant du malware permettant d’isoler les identifiants bancaires à deux facteurs (authentification multi-facteurs) les plus précieux, en réécrivant le code HTML affiché dans le navigateur de la victime pour intercepter les codes à usage unique.
• “Backconnect” : Permettait aux pirates de relayer les accès aux comptes bancaires compromis via le PC infecté de la victime, émulant ainsi l’adresse IP de celle-ci.

Recommandations :

Bien que l’article se concentre sur les acteurs et leurs méthodes, il souligne implicitement l’importance des mesures suivantes pour les entreprises :

• Surveillance des transactions bancaires : Être attentif aux transferts de fonds inhabituels ou non autorisés.
• Sécurité des identifiants et authentification : Renforcer les systèmes d’authentification forte et de gestion des accès.
• Protection contre les malwares : Maintenir à jour les logiciels antivirus et les systèmes d’exploitation, et sensibiliser les employés aux menaces de phishing et d’ingénierie sociale.
• Connaissance des risques : Comprendre les techniques utilisées par les cybercriminels pour mieux s’en prémunir.

Source