Εκπτωτική προσφορά πολλαπλών αδειών
Βάση δεδομένων απειλών Κακόβουλο λογισμικό για κινητά Κακόβουλο λογισμικό τραπεζικών λογαριασμών VENON

Κακόβουλο λογισμικό τραπεζικών λογαριασμών VENON

Μέχρι το Mezo το Κακόβουλο λογισμικό για κινητά, Τραπεζικός Trojan
Μετάφραση σε:

Ερευνητές κυβερνοασφάλειας αποκάλυψαν μια νέα εκστρατεία τραπεζικού κακόβουλου λογισμικού που στοχεύει χρήστες στη Βραζιλία. Το κακόβουλο λογισμικό, με την ονομασία VENON, σηματοδοτεί μια αξιοσημείωτη αλλαγή στο περιφερειακό οικοσύστημα του κυβερνοεγκλήματος, επειδή είναι γραμμένο στη γλώσσα προγραμματισμού Rust αντί για την παραδοσιακά χρησιμοποιούμενη Delphi.

Αυτή η αλλαγή στην προσέγγιση ανάπτυξης αντιπροσωπεύει μια σημαντική εξέλιξη στο τραπεζικό κακόβουλο λογισμικό της Λατινικής Αμερικής, το οποίο ιστορικά βασιζόταν σε πλαίσια που βασίζονται στο Delphi. Το VENON στοχεύει ειδικά σε περιβάλλοντα Windows και ανακαλύφθηκε αρχικά τον Φεβρουάριο του 2026.

Συμπεριφορικές παραλληλίες με καθιερωμένα τραπεζικά Trojans

Παρά τη σύγχρονη γλώσσα υλοποίησης, το VENON επιδεικνύει λειτουργικές συμπεριφορές που συνάδουν με γνωστά τραπεζικά trojan της Λατινικής Αμερικής, όπως τα Grandoreiro, Mekotio και Coyote.

Το κακόβουλο λογισμικό ενσωματώνει διάφορες δυνατότητες που συνήθως σχετίζονται με αυτές τις απειλές:

  • Λογική επικάλυψης τραπεζών σχεδιασμένη να μιμείται νόμιμες χρηματοοικονομικές διεπαφές
  • Ενεργή παρακολούθηση παραθύρων για την ανίχνευση στοχευμένων τραπεζικών εφαρμογών ή ιστότοπων
  • Μηχανισμοί hijacking συντομεύσεων (LNK) για την ανακατεύθυνση των θυμάτων προς κακόβουλη υποδομή

Αυτές οι ομοιότητες υποδηλώνουν ότι το VENON σχεδιάστηκε με λεπτομερή γνώση των λειτουργικών προτύπων που χρησιμοποιούνται από τις υπάρχουσες εκστρατείες τραπεζικού κακόβουλου λογισμικού στην περιοχή.

Ενδείξεις ανάπτυξης και πιθανή χρήση της γενετικής τεχνητής νοημοσύνης

Η καμπάνια δεν έχει ακόμη αποδοθεί επίσημα σε γνωστό φορέα απειλής ή ομάδα κυβερνοεγκληματιών. Ωστόσο, η εγκληματολογική ανάλυση μιας προηγούμενης έκδοσης από τον Ιανουάριο του 2026 αποκάλυψε ίχνη του περιβάλλοντος του προγραμματιστή που είναι ενσωματωμένα στο δυαδικό αρχείο. Οι διαδρομές αρχείων αναφέρονται επανειλημμένα σε ένα προφίλ χρήστη των Windows με την ένδειξη 'byst4', όπως C:\Users\byst4..., υποδεικνύοντας πιθανή εικόνα για τη ρύθμιση ανάπτυξης του φορέα απειλής.

Η ανάλυση κώδικα υποδεικνύει περαιτέρω μια δομή συμβατή με προγραμματιστές που είναι ήδη εξοικειωμένοι με τις τεχνικές κακόβουλου λογισμικού τραπεζών στη Λατινική Αμερική. Ταυτόχρονα, η βάση κώδικα υποδηλώνει την πιθανή χρήση εργαλείων δημιουργικής τεχνητής νοημοσύνης για την αναδιαμόρφωση ή την επέκταση προηγουμένως καθιερωμένων δυνατοτήτων στο Rust. Η εφαρμογή μιας τέτοιας λειτουργικότητας στο Rust απαιτεί σημαντική τεχνική εμπειρογνωμοσύνη, υπογραμμίζοντας την πολυπλοκότητα πίσω από το έργο.

Πολυβάθμια αλυσίδα μόλυνσης και τακτικές αποφυγής

Το VENON παραδίδεται μέσω μιας προσεκτικά δομημένης αλυσίδας μόλυνσης που τελικά εκτελεί μια κακόβουλη βιβλιοθήκη δυναμικών συνδέσμων μέσω πλευρικής φόρτωσης DLL. Πιστεύεται ότι η καμπάνια βασίζεται σε στρατηγικές κοινωνικής μηχανικής παρόμοιες με την τεχνική ClickFix για να πείσει τα θύματα να κατεβάσουν ένα αρχείο ZIP που περιέχει το ωφέλιμο φορτίο.

Η εκτέλεση ξεκινά με ένα σενάριο PowerShell που ανακτά και εκκινεί τα κακόβουλα στοιχεία. Πριν από την έναρξη οποιασδήποτε κακόβουλης δραστηριότητας, το DLL εκτελεί ένα εκτεταμένο σύνολο αμυντικών μέτρων αποφυγής:

  • Έλεγχοι κατά του sandbox
  • Έμμεσες κλήσεις συστήματος για παράκαμψη της παρακολούθησης ασφαλείας
  • Τεχνικές παράκαμψης ETW (Event Tracing for Windows)
  • Μηχανισμοί παράκαμψης AMSI (Διεπαφή σάρωσης κατά του κακόβουλου λογισμικού)
  • Πρόσθετες ρουτίνες κατά της ανάλυσης που σχηματίζουν συνολικά εννέα στρατηγικές αποφυγής

Αφού περάσει αυτούς τους ελέγχους, το κακόβουλο λογισμικό ανακτά δεδομένα διαμόρφωσης από έναν πόρο που φιλοξενείται στο cloud και είναι αποθηκευμένος στην υποδομή του Google Cloud. Στη συνέχεια, εγκαθιστά μια προγραμματισμένη εργασία για διατήρηση και δημιουργεί μια σύνδεση WebSocket με τον διακομιστή εντολών και ελέγχου του.

Στοχευμένη παραβίαση συντομεύσεων κατά του τραπεζικού λογισμικού Itaú

Το κακόβουλο αρχείο DLL περιέχει επίσης δύο ενσωματωμένα σενάρια γραμμένα σε Visual Basic Script. Αυτά τα σενάρια εφαρμόζουν μια στοχευμένη λειτουργία hijacking συντομεύσεων που στοχεύει ειδικά στην εφαρμογή επιφάνειας εργασίας του Itaú Unibanco.

Ο μηχανισμός αντικαθιστά τις νόμιμες συντομεύσεις συστήματος με χειραγωγημένες εκδόσεις που ανακατευθύνουν τα θύματα σε ιστοσελίδες που ελέγχονται από εισβολείς και έχουν σχεδιαστεί για να καταγράφουν ευαίσθητα οικονομικά διαπιστευτήρια. Αυτή η στοχευμένη προσέγγιση υποδηλώνει ισχυρή εστίαση σε τραπεζικές πλατφόρμες υψηλής αξίας εντός της Βραζιλίας.

Είναι ενδιαφέρον ότι το κακόβουλο λογισμικό περιλαμβάνει μια δυνατότητα απεγκατάστασης που μπορεί να επαναφέρει τις αρχικές συντομεύσεις. Αυτή η λειτουργικότητα υπονοεί απομακρυσμένο έλεγχο από τον χειριστή και επιτρέπει στους εισβολείς να αφαιρέσουν στοιχεία παραβίασης μόλις ολοκληρωθεί μια λειτουργία.

Ευρεία Στρατηγική Οικονομικής Στόχευσης και Κλοπής Διαπιστευτηρίων

Το VENON έχει σχεδιαστεί για να παρακολουθεί τόσο τους ενεργούς τίτλους παραθύρων όσο και τους τομείς του προγράμματος περιήγησης, επιτρέποντάς του να ανιχνεύει πότε οι χρήστες έχουν πρόσβαση σε χρηματοοικονομικές υπηρεσίες. Το κακόβουλο λογισμικό έχει ρυθμιστεί ώστε να αναγνωρίζει δραστηριότητα που αφορά 33 χρηματοπιστωτικά ιδρύματα και πλατφόρμες ψηφιακών περιουσιακών στοιχείων.

Μόλις εντοπιστεί μια στοχευμένη εφαρμογή ή ιστότοπος, το κακόβουλο λογισμικό αναπτύσσει δόλιες οθόνες επικάλυψης που μιμούνται νόμιμες διεπαφές σύνδεσης. Τα θύματα που αλληλεπιδρούν με αυτές τις επικαλύψεις υποβάλλουν εν αγνοία τους τα διαπιστευτήριά τους απευθείας στους εισβολείς, επιτρέποντας την κατάληψη λογαριασμού και την οικονομική κλοπή.

Τάσεις

Περισσότερες εμφανίσεις

Φόρτωση...