תוכנה זדונית לבנקאות VENON
חוקרי אבטחת סייבר חשפו קמפיין זדוני בנקאי חדש המכוון למשתמשים בברזיל. הנוזקה, ששמה VENON, מסמנת שינוי ניכר במערכת האקולוגית של פשעי סייבר אזוריים מכיוון שהיא כתובה בשפת התכנות Rust ולא בדלפי המסורתית.
שינוי זה בגישת הפיתוח מייצג התפתחות משמעותית בתוכנות זדוניות בנקאיות באמריקה הלטינית, אשר הסתמכו באופן היסטורי על מסגרות מבוססות דלפי. VENON מכוונת ספציפית לסביבות Windows והתגלתה לראשונה בפברואר 2026.
תוכן העניינים
הקבלות התנהגותיות עם טרויאנים בנקאיים מבוססים
למרות שפת היישום המודרנית שלו, VENON מציג התנהגויות תפעוליות התואמות לטרויאנים בנקאיים ידועים באמריקה הלטינית כמו Grandoreiro, Mekotio ו-Coyote.
התוכנה הזדונית משלבת מספר יכולות הקשורות בדרך כלל לאיומים אלה:
- לוגיקת שכבת-על בנקאית שנועדה לחקות ממשקים פיננסיים לגיטימיים
- ניטור חלונות אקטיבי לזיהוי אפליקציות או אתרי אינטרנט בנקאיים ממוקדים
- מנגנוני חטיפת קיצורי דרך (LNK) להפניית קורבנות לתשתית זדונית
קווי דמיון אלה מצביעים על כך ש-VENON תוכנן עם ידע מפורט על דפוסי הפעולה שבהם משתמשים קמפיינים קיימים של תוכנות זדוניות בנקאיות באזור.
רמזים לפיתוח ושימוש אפשרי בבינה מלאכותית גנרטיבית
הקמפיין טרם יוחס רשמית לגורם איום ידוע או לקבוצת פושעי סייבר. עם זאת, ניתוח פורנזי של גרסה קודמת מינואר 2026 חשף עקבות של סביבת המפתח המוטמעים בקובץ הבינארי. נתיבי קבצים מפנים שוב ושוב לפרופיל משתמש של Windows שכותרתו 'byst4', כגון C:\Users\byst4..., דבר המצביע על תובנות אפשריות לגבי מערך הפיתוח של גורם האיום.
ניתוח קוד מצביע עוד יותר על מבנה התואם למפתחים שכבר מכירים טכניקות של תוכנות זדוניות בבנקאות באמריקה הלטינית. במקביל, בסיס הקוד מציע שימוש אפשרי בכלי בינה מלאכותית גנרטיבית כדי לשפץ או להרחיב יכולות קודמות שהוקמו ב-Rust. יישום פונקציונליות כזו ב-Rust דורש מומחיות טכנית משמעותית, דבר המדגיש את התחכום העומד מאחורי הפרויקט.
שרשרת הדבקה רב-שלבית וטקטיקות התחמקות
VENON מועבר דרך שרשרת הדבקה מובנית בקפידה שבסופו של דבר מבצעת ספריית קישורים דינמית זדונית באמצעות טעינה צדדית של קבצי DLL. ההערכה היא שהקמפיין מסתמך על אסטרטגיות הנדסה חברתית הדומות לטכניקת ClickFix כדי לשכנע קורבנות להוריד ארכיון ZIP המכיל את המטען.
הביצוע מתחיל באמצעות סקריפט PowerShell אשר מאחזר ומפעיל את הרכיבים הזדוניים. לפני תחילת כל פעילות זדונית, קובץ ה-DLL מבצע מערך נרחב של אמצעי התחמקות הגנתיים:
- בדיקות נגד ארגז חול
- קריאות מערכת עקיפות לעקיפת ניטור אבטחה
- טכניקות עקיפה של ETW (מעקב אחר אירועים עבור Windows)
- מנגנוני עקיפה של AMSI (ממשק סריקה נגד תוכנות זדוניות)
- שגרות אנטי-אנליזה נוספות היוצרות סך של תשע אסטרטגיות התחמקות
לאחר שעברה את הבדיקות הללו, התוכנה הזדונית מאחזרת נתוני תצורה ממשאב בענן המאוחסן בתשתית הענן של גוגל. לאחר מכן היא מתקינה משימה מתוזמנת לצורך שמירה על תקינות ויוצרת חיבור WebSocket עם שרת הפיקוד והבקרה שלה.
חטיפת קיצורי דרך ממוקדים נגד תוכנת בנקאות איטאו
קובץ ה-DLL הזדוני מכיל גם שני סקריפטים מוטמעים שנכתבו ב-Visual Basic Script. סקריפטים אלה מיישמים פעולת חטיפת קיצורי דרך ממוקדת המכוונת ספציפית ליישום שולחן העבודה של Itaú Unibanco.
המנגנון מחליף קיצורי דרך לגיטימיים של המערכת בגרסאות מניפולטיביות שמנתבות את הקורבנות לדפי אינטרנט הנשלטים על ידי תוקפים שנועדו ללכוד אישורים פיננסיים רגישים. גישה ממוקדת זו מצביעה על התמקדות חזקה בפלטפורמות בנקאיות בעלות ערך גבוה בברזיל.
מעניין לציין, שהתוכנה הזדונית כוללת יכולת הסרה שיכולה לשחזר את קיצורי הדרך המקוריים. פונקציונליות זו מרמזת על שליטה מרחוק ומאפשרת לתוקפים להסיר ראיות לפגיעה לאחר השלמת פעולה.
מיקוד פיננסי רחב ואסטרטגיה לגניבת אישורים
VENON תוכנן לנטר הן כותרות חלונות פעילות והן דומיינים של דפדפן, מה שמאפשר לו לזהות מתי משתמשים ניגשים לשירותים פיננסיים. התוכנה הזדונית מוגדרת לזהות פעילות הכוללת 33 מוסדות פיננסיים ופלטפורמות נכסים דיגיטליים.
ברגע שמזוהים אפליקציה או אתר אינטרנט ממוקד, הנוזקה פורסת מסכי שכבת-על מזויפים המחקים ממשקי כניסה לגיטימיים. קורבנות המקיימים אינטראקציה עם שכבות-על אלו שולחים מבלי דעת את פרטי הגישה שלהם ישירות לתוקפים, מה שמאפשר השתלטות על חשבונות וגניבה כספית.
