قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار موبایل بدافزار بانکی VENON

بدافزار بانکی VENON

تا Mezo در بدافزار موبایل, تروجان بانکی
ترجمه به:

محققان امنیت سایبری یک کمپین بدافزار بانکی جدید را کشف کرده‌اند که کاربران را در برزیل هدف قرار می‌دهد. این بدافزار که VENON نام دارد، تغییر قابل توجهی در اکوسیستم جرایم سایبری منطقه‌ای ایجاد می‌کند، زیرا به جای زبان برنامه‌نویسی سنتی Delphi، با زبان برنامه‌نویسی Rust نوشته شده است.

این تغییر در رویکرد توسعه، نشان‌دهنده‌ی تکامل قابل توجهی در بدافزارهای بانکی آمریکای لاتین است که از گذشته به چارچوب‌های مبتنی بر دلفی متکی بوده‌اند. VENON به‌طور خاص محیط‌های ویندوز را هدف قرار می‌دهد و در ابتدا در فوریه ۲۰۲۶ کشف شد.

شباهت‌های رفتاری با تروجان‌های بانکی شناخته‌شده

با وجود زبان پیاده‌سازی مدرن، VENON رفتارهای عملیاتی مطابق با تروجان‌های بانکی شناخته‌شده آمریکای لاتین مانند Grandoreiro، Mekotio و Coyote از خود نشان می‌دهد.

این بدافزار چندین قابلیت را که معمولاً با این تهدیدات مرتبط هستند، ادغام می‌کند:

  • منطق پوشش بانکی که برای جعل رابط‌های مالی مشروع طراحی شده است
  • نظارت فعال بر پنجره‌ها برای شناسایی برنامه‌ها یا وب‌سایت‌های بانکی هدفمند
  • مکانیسم‌های ربودن میانبر (LNK) برای هدایت قربانیان به سمت زیرساخت‌های مخرب

این شباهت‌ها نشان می‌دهد که VENON با دانش دقیقی از الگوهای عملیاتی مورد استفاده توسط کمپین‌های بدافزار بانکی موجود در منطقه مهندسی شده است.

سرنخ‌های توسعه و کاربرد احتمالی هوش مصنوعی مولد

این کمپین هنوز رسماً به یک عامل تهدید شناخته‌شده یا گروه مجرمان سایبری نسبت داده نشده است. با این حال، تجزیه و تحلیل قانونی از یک نسخه اولیه از ژانویه ۲۰۲۶، ردپایی از محیط توسعه‌دهنده را که در فایل باینری جاسازی شده بود، نشان داد. مسیرهای فایل بارها به یک پروفایل کاربر ویندوز با برچسب «byst4» مانند C:\Users\byst4... اشاره می‌کنند که نشان‌دهنده بینش بالقوه در مورد تنظیمات توسعه عامل تهدید است.

تحلیل کد، ساختاری سازگار با توسعه‌دهندگانی که از قبل با تکنیک‌های بدافزار بانکی آمریکای لاتین آشنا هستند را نشان می‌دهد. در عین حال، کدبیس نشان می‌دهد که استفاده از ابزارهای هوش مصنوعی مولد برای بازسازی یا گسترش قابلیت‌های از پیش ایجاد شده در Rust امکان‌پذیر است. پیاده‌سازی چنین عملکردی در Rust نیازمند تخصص فنی قابل توجهی است که پیچیدگی پشت این پروژه را برجسته می‌کند.

زنجیره آلودگی چند مرحله‌ای و تاکتیک‌های فرار

VENON از طریق یک زنجیره آلودگی با ساختار دقیق توزیع می‌شود که در نهایت یک کتابخانه پیوند پویای مخرب را از طریق بارگذاری جانبی DLL اجرا می‌کند. اعتقاد بر این است که این کمپین برای متقاعد کردن قربانیان به دانلود یک بایگانی ZIP حاوی بار داده، به استراتژی‌های مهندسی اجتماعی مشابه تکنیک ClickFix متکی است.

اجرا با یک اسکریپت PowerShell آغاز می‌شود که اجزای مخرب را بازیابی و اجرا می‌کند. قبل از شروع هرگونه فعالیت مخرب، DLL مجموعه‌ای گسترده از اقدامات دفاعی را برای گریز انجام می‌دهد:

  • بررسی‌های ضد سندباکس
  • فراخوانی‌های غیرمستقیم سیستم برای دور زدن نظارت امنیتی
  • تکنیک‌های دور زدن ETW (ردیابی رویداد برای ویندوز)
  • مکانیسم‌های دور زدن AMSI (رابط اسکن ضدبدافزار)
  • روال‌های ضد تحلیل اضافی که در مجموع نه استراتژی فرار را تشکیل می‌دهند

پس از عبور از این بررسی‌ها، بدافزار داده‌های پیکربندی را از یک منبع میزبانی ابری ذخیره‌شده در زیرساخت Google Cloud بازیابی می‌کند. سپس یک وظیفه زمان‌بندی‌شده را برای ماندگاری نصب می‌کند و یک اتصال WebSocket با سرور فرمان و کنترل خود برقرار می‌کند.

ربودن میانبر هدفمند علیه نرم‌افزار بانکی Itaú

این DLL مخرب همچنین حاوی دو اسکریپت جاسازی‌شده است که به زبان ویژوال بیسیک اسکریپت نوشته شده‌اند. این اسکریپت‌ها یک عملیات ربودن میانبر هدفمند را اجرا می‌کنند که به‌طور خاص برنامه دسکتاپ Itaú Unibanco را هدف قرار می‌دهد.

این مکانیزم، میانبرهای سیستم قانونی را با نسخه‌های دستکاری‌شده جایگزین می‌کند که قربانیان را به صفحات وب تحت کنترل مهاجم هدایت می‌کند که برای گرفتن اطلاعات حساس مالی طراحی شده‌اند. این رویکرد هدفمند، تمرکز قوی بر پلتفرم‌های بانکی با ارزش بالا در برزیل را نشان می‌دهد.

جالب اینجاست که این بدافزار شامل قابلیت حذف نصب است که می‌تواند میانبرهای اصلی را بازیابی کند. این قابلیت به معنای کنترل از راه دور توسط اپراتور است و به مهاجمان این امکان را می‌دهد که پس از اتمام عملیات، شواهد نفوذ را حذف کنند.

استراتژی گسترده هدف‌گیری مالی و سرقت اطلاعات اعتباری

VENON به گونه‌ای طراحی شده است که هم عناوین پنجره‌های فعال و هم دامنه‌های مرورگر را رصد کند و به آن امکان می‌دهد زمان دسترسی کاربران به سرویس‌های مالی را تشخیص دهد. این بدافزار به گونه‌ای پیکربندی شده است که فعالیت‌های مربوط به ۳۳ موسسه مالی و پلتفرم‌های دارایی دیجیتال را تشخیص دهد.

به محض شناسایی یک برنامه یا وب‌سایت هدف، این بدافزار صفحات پوششی جعلی را که رابط‌های ورود قانونی را تقلید می‌کنند، مستقر می‌کند. قربانیانی که با این صفحات پوششی تعامل دارند، ناآگاهانه اطلاعات خود را مستقیماً در اختیار مهاجمان قرار می‌دهند و امکان تصاحب حساب و سرقت مالی را فراهم می‌کنند.

پرطرفدار

پربیننده ترین

بارگذاری...