VENON bankininkystės kenkėjiška programa
Kibernetinio saugumo tyrėjai atskleidė naują bankininkystės kenkėjiškų programų kampaniją, nukreiptą prieš vartotojus Brazilijoje. Kenkėjiška programa, pavadinta VENON, žymi reikšmingą pokytį regioninėje kibernetinių nusikaltimų ekosistemoje, nes ji parašyta „Rust“ programavimo kalba, o ne tradiciškai naudojama „Delphi“.
Šis kūrimo metodo pokytis žymi reikšmingą Lotynų Amerikos bankų kenkėjiškų programų, kurios istoriškai rėmėsi „Delphi“ pagrindu sukurtomis sistemomis, evoliuciją. VENON konkrečiai skirtas „Windows“ aplinkoms ir pirmą kartą buvo aptiktas 2026 m. vasarį.
Turinys
Elgesio paralelės su įsitvirtinusiais bankų Trojos arkliais
Nepaisant modernios įgyvendinimo kalbos, VENON demonstruoja operacinį elgesį, atitinkantį gerai žinomus Lotynų Amerikos bankų Trojos arklius, tokius kaip „Grandoreiro“, „Mekotio“ ir „Coyote“.
Kenkėjiška programa integruoja keletą funkcijų, paprastai siejamų su šiomis grėsmėmis:
- Bankininkystės perdangos logika, skirta apsimesti teisėtomis finansinėmis sąsajomis
- Aktyvus langų stebėjimas, siekiant aptikti tikslines bankininkystės programas ar svetaines
- Trumpųjų kelių (LNK) užgrobimo mechanizmai, nukreipiantys aukas į kenkėjišką infrastruktūrą
Šie panašumai rodo, kad VENON buvo sukurtas turint išsamių žinių apie regione vykdomų bankų kenkėjiškų programų kampanijų veikimo modelius.
Generatyviojo dirbtinio intelekto kūrimo užuominos ir galimas panaudojimas
Kampanija dar nėra oficialiai priskirta žinomam grėsmės veikėjui ar kibernetinių nusikaltėlių grupuotei. Tačiau ankstesnės, 2026 m. sausio mėn. sukurtos versijos teismo ekspertizė atskleidė dvejetainiame faile įterptų kūrėjo aplinkos pėdsakų. Failų keliai pakartotinai nurodo „Windows“ vartotojo profilį, pažymėtą „byst4“, pvz., C:\Users\byst4..., o tai rodo galimą įžvalgą apie grėsmės veikėjo kūrimo sąranką.
Kodo analizė taip pat rodo struktūrą, atitinkančią kūrėjų, jau susipažinusių su Lotynų Amerikos bankų kenkėjiškų programų metodais, struktūrą. Tuo pačiu metu kodo bazė rodo galimą generatyvinių dirbtinio intelekto įrankių naudojimą, siekiant pertvarkyti arba išplėsti anksčiau sukurtas „Rust“ galimybes. Tokių funkcijų įdiegimas „Rust“ reikalauja didelių techninių žinių, o tai pabrėžia projekto sudėtingumą.
Daugiapakopė infekcijos grandinė ir vengimo taktika
VENON virusas perduodamas per kruopščiai struktūrizuotą užkrato grandinę, kuri galiausiai vykdo kenkėjišką dinaminių nuorodų biblioteką per DLL šoninį įkėlimą. Manoma, kad kampanija remiasi socialinės inžinerijos strategijomis, panašiomis į „ClickFix“ techniką, siekiant įtikinti aukas atsisiųsti ZIP archyvą su naudinga informacija.
Vykdymas pradedamas „PowerShell“ scenarijumi, kuris nuskaito ir paleidžia kenkėjiškus komponentus. Prieš pradėdamas bet kokią kenkėjišką veiklą, DLL atlieka išsamų gynybinių vengimo priemonių rinkinį:
- Apsaugos nuo smėlio dėžės patikrinimai
- Netiesioginiai sistemos iškvietimai, skirti apeiti saugumo stebėjimą
- ETW (įvykių sekimo sistemai „Windows“) apėjimo metodai
- AMSI (apsaugos nuo kenkėjiškų programų nuskaitymo sąsajos) apėjimo mechanizmai
- Papildomos antianalizės procedūros, sudarančios iš viso devynias vengimo strategijas
Praėjus šiuos patikrinimus, kenkėjiška programa nuskaito konfigūracijos duomenis iš debesyje talpinamo ištekliaus, saugomo „Google Cloud“ infrastruktūroje. Tada ji įdiegia suplanuotą užduotį, kad būtų nuolatinė, ir užmezga „WebSocket“ ryšį su savo komandų ir valdymo serveriu.
Tikslinis trumpųjų klavišų užgrobimas prieš Itaú bankininkystės programinę įrangą
Kenkėjiškame DLL faile taip pat yra du įterptieji scenarijai, parašyti „Visual Basic Script“ kalba. Šie scenarijai įgyvendina tikslinę sparčiųjų klavišų užgrobimo operaciją, skirtą būtent „Itaú Unibanco“ darbalaukio programai.
Šis mechanizmas teisėtus sistemos sparčiuosius klavišus pakeičia manipuliuojamomis versijomis, kurios nukreipia aukas į užpuoliko kontroliuojamus tinklalapius, skirtus slaptiems finansiniams duomenims rinkti. Toks tikslinis požiūris rodo didelį dėmesį didelės vertės bankininkystės platformoms Brazilijoje.
Įdomu tai, kad kenkėjiška programa turi pašalinimo funkciją, kuri gali atkurti originalius sparčiuosius klavišus. Ši funkcija leidžia nuotoliniu būdu valdyti sistemą ir pašalinti įsilaužimo įrodymus, kai operacija baigta.
Plataus masto finansinė taikinių rinkimo ir įgaliojimų vagystės strategija
VENON sukurtas taip, kad stebėtų tiek aktyvių langų pavadinimus, tiek naršyklės domenus, taip aptikdamas, kada vartotojai naudojasi finansinėmis paslaugomis. Kenkėjiška programa sukonfigūruota atpažinti veiklą, susijusią su 33 finansų įstaigomis ir skaitmeninio turto platformomis.
Aptikusi tikslinę programą ar svetainę, kenkėjiška programa pateikia apgaulingus ekranus, kurie imituoja teisėtas prisijungimo sąsajas. Aukos, sąveikaujančios su šiais ekranais, nesąmoningai pateikia savo prisijungimo duomenis tiesiogiai užpuolikams, taip sudarydamos sąlygas paskyros perėmimui ir finansinėms vagystėms.
