वेनॉन बैंकिंग मैलवेयर
साइबर सुरक्षा शोधकर्ताओं ने ब्राज़ील में उपयोगकर्ताओं को निशाना बनाने वाले एक नए बैंकिंग मैलवेयर अभियान का पता लगाया है। VENON नामक यह मैलवेयर क्षेत्रीय साइबर अपराध तंत्र में एक महत्वपूर्ण बदलाव का संकेत देता है क्योंकि इसे पारंपरिक रूप से उपयोग की जाने वाली डेल्फ़ी के बजाय रस्ट प्रोग्रामिंग भाषा में लिखा गया है।
विकास के दृष्टिकोण में यह बदलाव लैटिन अमेरिकी बैंकिंग मैलवेयर में एक महत्वपूर्ण विकास को दर्शाता है, जो पारंपरिक रूप से डेल्फी-आधारित फ्रेमवर्क पर निर्भर रहा है। VENON विशेष रूप से विंडोज वातावरण को निशाना बनाता है और इसे पहली बार फरवरी 2026 में खोजा गया था।
विषयसूची
स्थापित बैंकिंग ट्रोजन के साथ व्यवहारिक समानताएं
अपनी आधुनिक कार्यान्वयन भाषा के बावजूद, VENON प्रसिद्ध लैटिन अमेरिकी बैंकिंग ट्रोजन जैसे Grandoreiro, Mekotio और Coyote के अनुरूप परिचालन व्यवहार प्रदर्शित करता है।
यह मैलवेयर कई ऐसी क्षमताओं को एकीकृत करता है जो आमतौर पर इन खतरों से जुड़ी होती हैं:
- वैध वित्तीय इंटरफेस की नकल करने के लिए डिज़ाइन किया गया बैंकिंग ओवरले लॉजिक
- लक्षित बैंकिंग एप्लिकेशन या वेबसाइटों का पता लगाने के लिए सक्रिय विंडो मॉनिटरिंग
- पीड़ितों को दुर्भावनापूर्ण बुनियादी ढांचे की ओर पुनर्निर्देशित करने के लिए शॉर्टकट (LNK) अपहरण तंत्र का उपयोग किया जाता है।
इन समानताओं से संकेत मिलता है कि VENON को इस क्षेत्र में मौजूदा बैंकिंग मैलवेयर अभियानों द्वारा उपयोग किए जाने वाले परिचालन पैटर्न की विस्तृत जानकारी के साथ तैयार किया गया था।
जनरेटिव एआई के विकास के संकेत और संभावित उपयोग
इस अभियान को अभी तक किसी ज्ञात साइबर अपराधी समूह या खतरे के सूत्र से नहीं जोड़ा गया है। हालांकि, जनवरी 2026 के एक पुराने बिल्ड के फोरेंसिक विश्लेषण से बाइनरी में डेवलपर के वातावरण के निशान मिले हैं। फ़ाइल पथ बार-बार 'byst4' लेबल वाले विंडोज उपयोगकर्ता प्रोफ़ाइल का संदर्भ देते हैं, जैसे कि C:\Users\byst4..., जो खतरे के अपराधी के विकास सेटअप के बारे में संभावित जानकारी का संकेत देते हैं।
कोड विश्लेषण से यह भी पता चलता है कि इसकी संरचना उन डेवलपर्स के अनुरूप है जो लैटिन अमेरिकी बैंकिंग मैलवेयर तकनीकों से पहले से ही परिचित हैं। साथ ही, कोडबेस से यह भी संकेत मिलता है कि जनरेटिव एआई टूल्स का उपयोग करके पहले से स्थापित क्षमताओं को रस्ट में रिफैक्टर या विस्तारित किया जा सकता है। रस्ट में इस तरह की कार्यक्षमता को लागू करने के लिए पर्याप्त तकनीकी विशेषज्ञता की आवश्यकता होती है, जो इस परियोजना की जटिलता को उजागर करती है।
बहुस्तरीय संक्रमण श्रृंखला और बचाव की रणनीतियाँ
VENON एक सुनियोजित संक्रमण श्रृंखला के माध्यम से फैलता है जो अंततः DLL साइड-लोडिंग के ज़रिए एक दुर्भावनापूर्ण डायनेमिक लिंक लाइब्रेरी को निष्पादित करता है। माना जाता है कि यह अभियान ClickFix तकनीक के समान सोशल-इंजीनियरिंग रणनीतियों पर निर्भर करता है ताकि पीड़ितों को पेलोड युक्त ज़िप आर्काइव डाउनलोड करने के लिए राजी किया जा सके।
निष्पादन पॉवरशेल स्क्रिप्ट से शुरू होता है जो दुर्भावनापूर्ण घटकों को पुनः प्राप्त करता है और उन्हें लॉन्च करता है। किसी भी दुर्भावनापूर्ण गतिविधि को शुरू करने से पहले, डीएलएल व्यापक सुरक्षात्मक उपाय करता है:
- एंटी-सैंडबॉक्स जाँच
- सुरक्षा निगरानी को दरकिनार करने के लिए अप्रत्यक्ष सिस्टम कॉल
- ETW (विंडोज के लिए इवेंट ट्रेसिंग) को बायपास करने की तकनीकें
- AMSI (एंटीमैलवेयर स्कैन इंटरफ़ेस) बाईपास तंत्र
- अतिरिक्त विश्लेषण-विरोधी प्रक्रियाओं से मिलकर कुल नौ बचाव रणनीतियाँ बनती हैं।
इन जांचों को पास करने के बाद, मैलवेयर Google क्लाउड इंफ्रास्ट्रक्चर पर संग्रहीत क्लाउड-होस्टेड संसाधन से कॉन्फ़िगरेशन डेटा प्राप्त करता है। फिर यह निरंतरता के लिए एक निर्धारित कार्य स्थापित करता है और अपने कमांड-एंड-कंट्रोल सर्वर के साथ वेबसॉकेट कनेक्शन स्थापित करता है।
इटाऊ बैंकिंग सॉफ़्टवेयर के विरुद्ध लक्षित शॉर्टकट अपहरण
इस दुर्भावनापूर्ण DLL में विजुअल बेसिक स्क्रिप्ट में लिखी गई दो एम्बेडेड स्क्रिप्ट भी शामिल हैं। ये स्क्रिप्ट विशेष रूप से इटाऊ यूनिबैंको के डेस्कटॉप एप्लिकेशन को निशाना बनाकर शॉर्टकट हैकिंग ऑपरेशन को अंजाम देती हैं।
यह तंत्र वैध सिस्टम शॉर्टकट को हेरफेर किए गए संस्करणों से बदल देता है, जो पीड़ितों को हमलावर द्वारा नियंत्रित वेब पेजों पर रीडायरेक्ट करते हैं। ये वेब पेज संवेदनशील वित्तीय जानकारियों को हासिल करने के लिए डिज़ाइन किए गए हैं। यह लक्षित दृष्टिकोण ब्राज़ील में उच्च-मूल्य वाले बैंकिंग प्लेटफॉर्मों पर मजबूत फोकस को दर्शाता है।
दिलचस्प बात यह है कि मैलवेयर में अनइंस्टॉल करने की क्षमता शामिल है जो मूल शॉर्टकट को पुनर्स्थापित कर सकती है। यह कार्यक्षमता दूरस्थ ऑपरेटर नियंत्रण को दर्शाती है और हमलावरों को ऑपरेशन पूरा होने के बाद सुरक्षा उल्लंघन के सबूत मिटाने में सक्षम बनाती है।
व्यापक वित्तीय लक्ष्यीकरण और साख चोरी की रणनीति
VENON मैलवेयर को सक्रिय विंडो टाइटल और ब्राउज़र डोमेन दोनों की निगरानी करने के लिए डिज़ाइन किया गया है, जिससे यह पता लगा सकता है कि उपयोगकर्ता वित्तीय सेवाओं का उपयोग कब करते हैं। यह मैलवेयर 33 वित्तीय संस्थानों और डिजिटल एसेट प्लेटफॉर्म से जुड़ी गतिविधियों को पहचानने के लिए कॉन्फ़िगर किया गया है।
किसी लक्षित एप्लिकेशन या वेबसाइट का पता चलने पर, मैलवेयर फर्जी ओवरले स्क्रीन तैनात करता है जो वैध लॉगिन इंटरफेस की नकल करती हैं। इन ओवरले के साथ इंटरैक्ट करने वाले पीड़ित अनजाने में अपनी जानकारी सीधे हमलावरों को सौंप देते हैं, जिससे उनके खातों पर कब्ज़ा हो जाता है और वित्तीय चोरी हो जाती है।
