برنامج فينون الخبيث المصرفي
كشف باحثون في مجال الأمن السيبراني عن حملة برمجيات خبيثة جديدة تستهدف المستخدمين في البرازيل. وتُعدّ هذه البرمجية الخبيثة، التي تحمل اسم "فينون"، تحولاً ملحوظاً في بيئة الجرائم الإلكترونية الإقليمية، إذ كُتبت بلغة البرمجة "راست" بدلاً من لغة "دلفي" التقليدية.
يمثل هذا التغيير في منهجية التطوير تطوراً هاماً في مجال البرمجيات الخبيثة المصرفية في أمريكا اللاتينية، والتي اعتمدت تاريخياً على أطر عمل مبنية على لغة دلفي. يستهدف برنامج VENON تحديداً بيئات ويندوز، وقد تم اكتشافه لأول مرة في فبراير 2026.
جدول المحتويات
أوجه التشابه السلوكية مع برامج الاحتيال المصرفية المعروفة
على الرغم من لغة التنفيذ الحديثة الخاصة به، فإن VENON يُظهر سلوكيات تشغيلية تتوافق مع برامج التجسس المصرفية المعروفة في أمريكا اللاتينية مثل Grandoreiro و Mekotio و Coyote.
تتضمن البرمجية الخبيثة العديد من القدرات المرتبطة عادةً بهذه التهديدات:
- منطق تراكب مصرفي مصمم لانتحال واجهات مالية شرعية
- مراقبة النوافذ النشطة للكشف عن تطبيقات أو مواقع الويب المصرفية المستهدفة
- آليات اختطاف الاختصارات (LNK) لإعادة توجيه الضحايا نحو البنية التحتية الخبيثة
تشير هذه التشابهات إلى أن برنامج VENON قد تم تصميمه بمعرفة تفصيلية بالأنماط التشغيلية التي تستخدمها حملات البرامج الضارة المصرفية الحالية في المنطقة.
مؤشرات التطوير والاستخدام المحتمل للذكاء الاصطناعي التوليدي
لم تُنسب الحملة رسميًا بعد إلى جهة تهديد معروفة أو جماعة إجرامية إلكترونية. مع ذلك، كشف التحليل الجنائي لإصدار سابق من يناير 2026 عن آثار بيئة المطور مضمنة في الملف التنفيذي. تشير مسارات الملفات بشكل متكرر إلى ملف تعريف مستخدم ويندوز يحمل اسم "byst4"، مثل C:\Users\byst4...، مما يُشير إلى إمكانية الحصول على معلومات حول إعدادات تطوير الجهة المُهدِّدة.
يشير تحليل الشفرة إلى بنية تتوافق مع مطورين على دراية بتقنيات البرمجيات الخبيثة المصرفية في أمريكا اللاتينية. في الوقت نفسه، توحي قاعدة الشفرة بإمكانية استخدام أدوات الذكاء الاصطناعي التوليدي لإعادة هيكلة أو توسيع القدرات الموجودة مسبقًا في لغة Rust. يتطلب تنفيذ هذه الوظائف في Rust خبرة تقنية كبيرة، مما يُبرز مدى تعقيد المشروع.
سلسلة العدوى متعددة المراحل وتكتيكات التهرب
يتم نشر برنامج VENON الخبيث عبر سلسلة عدوى مُصممة بعناية، تُنفذ في النهاية مكتبة ارتباط ديناميكي خبيثة من خلال تحميل ملفات DLL جانبيًا. ويُعتقد أن الحملة تعتمد على استراتيجيات الهندسة الاجتماعية المشابهة لتقنية ClickFix لإقناع الضحايا بتنزيل ملف مضغوط يحتوي على الحمولة الخبيثة.
يبدأ التنفيذ ببرنامج نصي PowerShell يسترجع المكونات الخبيثة ويشغلها. قبل البدء بأي نشاط خبيث، يقوم ملف DLL بتنفيذ مجموعة واسعة من إجراءات الحماية والتهرب:
- عمليات التحقق من عدم وجود بيئة اختبار معزولة
- استدعاءات النظام غير المباشرة لتجاوز مراقبة الأمان
- تقنيات تجاوز ETW (تتبع الأحداث لنظام التشغيل Windows)
- آليات تجاوز واجهة فحص مكافحة البرامج الضارة (AMSI)
- إجراءات إضافية لمكافحة التحليل تشكل ما مجموعه تسع استراتيجيات للتهرب
بعد اجتياز هذه الفحوصات، يسترجع البرنامج الخبيث بيانات التكوين من مورد مُستضاف على السحابة ومُخزّن على بنية جوجل السحابية. ثم يقوم بتثبيت مهمة مُجدولة لضمان استمراريته، ويُنشئ اتصال WebSocket مع خادم التحكم والسيطرة الخاص به.
اختطاف اختصارات مستهدفة ضد برنامج مصرفي من إيتاو
تحتوي مكتبة الارتباط الديناميكية الخبيثة أيضًا على نصين برمجيين مضمنين مكتوبين بلغة فيجوال بيسك سكريبت. ينفذ هذان النصان عملية اختطاف اختصارات موجهة خصيصًا لتطبيق سطح المكتب الخاص ببنك إيتاو يونيبانكو.
تستبدل هذه الآلية اختصارات النظام المشروعة بنسخ مُعدّلة تُعيد توجيه الضحايا إلى صفحات ويب يتحكم بها المهاجمون، مصممة لسرقة البيانات المالية الحساسة. ويشير هذا النهج المُستهدف إلى تركيز قوي على منصات الخدمات المصرفية ذات القيمة العالية في البرازيل.
ومن المثير للاهتمام أن البرمجية الخبيثة تتضمن خاصية إلغاء التثبيت التي يمكنها استعادة الاختصارات الأصلية. تشير هذه الخاصية إلى إمكانية التحكم عن بُعد، وتمكّن المهاجمين من إزالة أي دليل على الاختراق بمجرد اكتمال العملية.
استراتيجية واسعة النطاق للاستهداف المالي وسرقة بيانات الاعتماد
صُمم برنامج VENON الخبيث لمراقبة عناوين النوافذ النشطة ونطاقات المتصفحات، مما يُمكّنه من اكتشاف وصول المستخدمين إلى الخدمات المالية. وقد تم ضبط البرنامج للتعرف على الأنشطة التي تشمل 33 مؤسسة مالية ومنصة للأصول الرقمية.
بمجرد اكتشاف تطبيق أو موقع ويب مستهدف، يقوم البرنامج الخبيث بنشر شاشات تراكب احتيالية تحاكي واجهات تسجيل الدخول الشرعية. يقوم الضحايا الذين يتفاعلون مع هذه الشاشات بتقديم بيانات اعتمادهم مباشرةً إلى المهاجمين دون علمهم، مما يتيح لهم الاستيلاء على حساباتهم وسرقة أموالهم.
