文章总结： 本文详述安全公司利用木马感染数据库追踪FBI通缉犯的案例。通过分析两台受感染电脑的凭证与日志，研究人员成功锁定涉嫌贩卖虚假身份的SecondEye公司员工，并关联到通缉犯本人的数字痕迹。该案例展示了受害数据如何转化为关键情报，揭示了利用恶意软件反制网络犯罪的新路径，同时也警示了数字指纹泄露的潜在风险。 综合评分： 85 文章分类： 威胁情报,恶意软件,实战经验,安全大事件

木马感染数据如何锁定FBI头号通缉犯

匿名 匿名

夯磅棱

2026年3月2日 09:23 北京

一桩网络犯罪调查，无意间扯出了FBI通缉令上的两个名字。安全公司的木马感染数据库，如何成了抓捕数字诈骗犯的关键？这篇文章详解了木马数据追踪犯罪的整个过程，揭示了网络世界中那些被忽视的数字指纹。

通缉令上的“数字工匠”

FBI的“网络犯罪头号通缉犯”名单上，写着穆贾塔巴·拉扎和莫辛·拉扎的名字。官方文件指控他们在巴基斯坦卡拉奇运营一个名为“第二只眼解决方案”（SecondEye Solution，也叫Forwarderz）的欺诈性在线生意。

这事儿至少从2011年就开始了。他们的“产品”听起来像一个荒诞的在线超市：贩卖超过200个国家和地区的虚假身份文件数字图像，包括护照、驾照、银行流水和国民身份证。SecondEye把这些假文件包装成“线上账户验证工具”出售，买家则用它们去骗支付公司、电商平台和社交媒体网站。

因为这门“生意”，两位经营者上了FBI的通缉榜。

木马感染的意外收获

安全公司Hudson Rock手里有一个包含2950万台受感染计算机信息的网络犯罪情报数据库。他们用这个数据库一查，发现了两个有意思的受害者。

计算机A：2021年4月15日，一台巴基斯坦IP（103.xxx.xxx.xx）的电脑中了信息窃取木马。这台电脑里存着大量与“SecondEye Solution”和“Forwarderz”相关的企业账号密码。

计算机B：2020年10月9日，另一台巴基斯坦IP（203.xxx.xx.xx）的电脑也中了同类型木马，里面同样找到了大量与那两个组织相关的登录凭证。

木马从这两台机器里偷走了不少东西，正好成了调查的起点：

• 浏览器里保存的所有登录信息（网址、用户名、密码）。
• 计算机的技术信息，比如IP地址、感染路径、感染日期、计算机名。
• 其中一台电脑的完整浏览历史。
• 浏览器自动填充数据，包括地址、账号信息甚至护照号码。

这些数据拼凑起来，能帮人看清SecondEye和Forwarderz到底是怎么运作的，甚至可能直接指向抓捕。

从密码簿到组织架构

研究人员翻遍了电脑里找到的登录凭证，顺藤摸瓜，定位了这个犯罪组织的一堆基础设施。

在计算机A里，找到了与SecondEyeSolution.com相关的凭证，比如网站后台管理、企业邮箱的账号密码。

在A和B两台电脑里，都发现了Secondeyehost.com（一个疑似他们用的主机服务）的登录信息。

计算机A里还有Forwarderz的各类后台密码。

计算机B里也存着Forwarderz的凭证。

这还没完，电脑里藏着更多没放出来的账号密码。对执法部门来说，这就是一张进入犯罪集团内部系统的地图。

更绝的是，木马感染计算机A时，还顺手截了张屏。屏幕上明晃晃地显示着Forwarderz的官方Skype账号和聊天窗口。

电脑的主人是谁？

这两台电脑虽然不属于莫辛和穆贾塔巴本人，但很明显是SecondEye或Forwarderz内部高级员工的机器。

计算机A属于一个叫“Bakhtawar Abbas”的人。证据很直接：这台电脑上最常用的登录用户名就是他，而且计算机名就叫“BAKHTAWAR-PC”。

木马偷到的自动填充数据里，还找到了一个疑似属于他的住址。

通过分析电脑里的浏览器Cookie，研究人员确定他活跃使用的Facebook账号是：facebook.com/Syed.Bakhtawar.Abbas。

这台电脑存了238个不同网站的登录凭证，执法机构拿到这些，能把这个人的网络行为摸个底朝天。

计算机B的情况类似。研究人员判断它属于一个叫“Qamber Jamani”或“Muhammad Qamber”的人。

电脑名“Jamani”也印证了这一点。

这个人主要用“mqjamani”这个用户名。按这个名字一搜，找到了一个同名GitHub账号，看起来是个网页开发者。

同样通过Cookie，找到了他登录的Facebook账号：facebook.com/muhammad.qamber.3。

这台电脑的“料”更足，存了426个网站密码。

追捕目标浮出水面

虽然电脑不是莫辛·拉扎本人的，但通过梳理登录记录，还是能揪出他的数字痕迹。

美国财政部海外资产控制办公室（OFAC）早就列出了莫辛使用的几个邮箱。

在计算机A里搜索关键词“alimohsin”，找到了与之关联的登录凭证。

研究人员发现莫辛喜欢用“ammi****”这个密码。靠着这个习惯，他们又定位了计算机A上一个用户名“Likewise”和邮箱“[email protected]”，这也和他有关。

这个发现像一把钥匙，帮他们在计算机B上找到了更多莫辛·拉扎的账号信息。

至于另一个通缉犯穆贾塔巴·拉扎，OFAC同样公布了他的几个邮箱。

研究人员在计算机A里，找到了与邮箱“[email protected]”相关联的几个登录凭证。

除此之外，计算机A的浏览历史文本文件里，更是塞满了非法交易证据，比如比特币交易记录、截图等等。

情报的价值

整件事听下来，你会发现抓网络罪犯的方法变了。过去可能靠线人、靠卧底，现在多了一个新路子：盯着那些中了木马的电脑。

Hudson Rock这类公司做的事，本质上是把网络犯罪中“被动受害”的环节，转化成了“主动情报”。木马偷走的数据，在他们手里成了还原犯罪组织内部通讯、人员结构和作案手法的拼图。

这种情报直接、原始，而且往往实时性很强。它不跟你讲大道理，直接给你看罪犯的聊天记录、后台密码和浏览历史。对执法部门来说，这种证据链扎实得让人无法反驳。

但从另一个角度看，这件事也够讽刺的。一群靠窃取身份信息为生的罪犯，最终因为自己的信息被别的木马窃取而暴露。这算不算数字世界的“黑吃黑”？

这也给所有人提了个醒：在网络世界里，你的每一次登录、每一个保存的密码、每一段浏览记录，都可能在不经意间成为别人数据库里的一条记录。区别只在于，这张网撒向的是谁。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：夯磅棱 匿名 匿名《木马感染数据如何锁定FBI头号通缉犯》