Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra mobilajām ierīcēm VENON banku ļaunprogrammatūra

VENON banku ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra mobilajām ierīcēm, Banku Trojas zirgs. gadā
Tulkot uz:

Kiberdrošības pētnieki ir atklājuši jaunu banku ļaunprogrammatūras kampaņu, kuras mērķauditorija ir lietotāji Brazīlijā. Ļaunprogrammatūra ar nosaukumu VENON iezīmē ievērojamas pārmaiņas reģionālajā kibernoziedzības ekosistēmā, jo tā ir rakstīta Rust programmēšanas valodā, nevis tradicionāli izmantotajā Delphi.

Šīs izmaiņas izstrādes pieejā atspoguļo ievērojamu Latīņamerikas banku ļaunprogrammatūras attīstību, kas vēsturiski ir paļāvusies uz Delphi balstītām sistēmām. VENON īpaši ir vērsts uz Windows vidēm un sākotnēji tika atklāts 2026. gada februārī.

Uzvedības paralēles ar jau esošajiem banku Trojas zirgiem

Neskatoties uz moderno ieviešanas valodu, VENON uzrāda darbības uzvedību, kas atbilst labi zināmiem Latīņamerikas banku Trojas zirgiem, piemēram, Grandoreiro, Mekotio un Coyote.

Ļaunprogrammatūra integrē vairākas iespējas, kas parasti saistītas ar šiem draudiem:

  • Banku pārklājuma loģika, kas paredzēta, lai atdarinātu likumīgas finanšu saskarnes
  • Aktīva logu uzraudzība, lai atklātu mērķtiecīgas banku lietojumprogrammas vai tīmekļa vietnes
  • Īsceļu (LNK) nolaupīšanas mehānismi upuru novirzīšanai uz ļaunprātīgu infrastruktūru

Šīs līdzības liecina, ka VENON tika izstrādāts, detalizēti pārzinot darbības modeļus, ko izmanto esošās banku ļaunprogrammatūras kampaņas reģionā.

Attīstības norādes un ģeneratīvā mākslīgā intelekta iespējamā izmantošana

Kampaņa vēl nav oficiāli piedēvēta zināmam apdraudējuma izpildītājam vai kibernoziedznieku grupai. Tomēr agrākas 2026. gada janvāra versijas kriminālistiskā analīze atklāja binārajā failā iegultas izstrādātāja vides pēdas. Failu ceļi atkārtoti atsaucas uz Windows lietotāja profilu ar apzīmējumu “byst4”, piemēram, C:\Users\byst4..., norādot uz iespējamu ieskatu apdraudējuma izpildītāja izstrādes iestatījumos.

Koda analīze arī norāda uz struktūru, kas atbilst izstrādātājiem, kuri jau ir iepazinušies ar Latīņamerikas banku ļaunprogrammatūras metodēm. Vienlaikus koda bāze liek domāt par iespējamu ģeneratīvo mākslīgā intelekta rīku izmantošanu, lai pārveidotu vai paplašinātu iepriekš izveidotās iespējas Rust vidē. Šādas funkcionalitātes ieviešana Rust vidē prasa ievērojamas tehniskās zināšanas, kas uzsver projekta sarežģītību.

Daudzpakāpju infekcijas ķēde un izvairīšanās taktika

VENON tiek piegādāts, izmantojot rūpīgi strukturētu inficēšanas ķēdi, kas galu galā izpilda ļaunprātīgu dinamisko saišu bibliotēku, izmantojot DLL sānu ielādi. Tiek uzskatīts, ka kampaņa balstās uz sociālās inženierijas stratēģijām, kas līdzīgas ClickFix tehnikai, lai pārliecinātu upurus lejupielādēt ZIP arhīvu, kurā ir ietverta vērtuma informācija.

Izpilde sākas ar PowerShell skriptu, kas izgūst un palaiž ļaunprātīgos komponentus. Pirms jebkādas ļaunprātīgas darbības uzsākšanas DLL veic plašu aizsardzības apiešanas pasākumu kopumu:

  • Pretsmilškastes pārbaudes
  • Netiešie sistēmas izsaukumi, lai apietu drošības uzraudzību
  • ETW (notikumu izsekošanas operētājsistēmai Windows) apiešanas metodes
  • AMSI (ļaunprogrammatūras novēršanas skenēšanas saskarnes) apiešanas mehānismi
  • Papildu antianalīzes rutīnas, kas veido kopumā deviņas izvairīšanās stratēģijas

Pēc šo pārbaužu izturēšanas ļaunprogrammatūra izgūst konfigurācijas datus no mākonī mitināta resursa, kas tiek glabāts Google Cloud infrastruktūrā. Pēc tam tā instalē ieplānotu uzdevumu saglabāšanai un izveido WebSocket savienojumu ar savu komandu un vadības serveri.

Mērķtiecīga īsceļu nolaupīšana pret Itaú banku programmatūru

Ļaunprātīgajā DLL failā ir arī divi iegulti skripti, kas rakstīti Visual Basic Script valodā. Šie skripti īsteno mērķtiecīgu saīsņu nolaupīšanas operāciju, kas īpaši vērsta pret Itaú Unibanco darbvirsmas lietojumprogrammu.

Šis mehānisms aizstāj likumīgas sistēmas saīsnes ar manipulētām versijām, kas novirza upurus uz uzbrucēju kontrolētām tīmekļa lapām, kas paredzētas sensitīvu finanšu akreditācijas datu iegūšanai. Šī mērķtiecīgā pieeja liecina par spēcīgu koncentrēšanos uz augstas vērtības banku platformām Brazīlijā.

Interesanti, ka ļaunprogrammatūra ietver atinstalēšanas iespēju, kas var atjaunot sākotnējās saīsnes. Šī funkcionalitāte paredz attālinātu operatora vadību un ļauj uzbrucējiem noņemt pierādījumus par kompromitēšanu pēc darbības pabeigšanas.

Plaša finanšu mērķauditorijas atlases un akreditācijas datu zādzības stratēģija

VENON ir izstrādāts, lai uzraudzītu gan aktīvo logu nosaukumus, gan pārlūkprogrammas domēnus, ļaujot tam noteikt, kad lietotāji piekļūst finanšu pakalpojumiem. Ļaunprogrammatūra ir konfigurēta tā, lai atpazītu darbības, kurās iesaistītas 33 finanšu iestādes un digitālo aktīvu platformas.

Kad tiek atklāta mērķtiecīga lietojumprogramma vai tīmekļa vietne, ļaunprogrammatūra izvieto krāpnieciskus pārklājuma ekrānus, kas atdarina likumīgas pieteikšanās saskarnes. Cietušie, kas mijiedarbojas ar šiem pārklājumiem, neapzināti iesniedz savus akreditācijas datus tieši uzbrucējiem, nodrošinot konta pārņemšanu un finanšu zādzības.

Tendences

Visvairāk skatīts

Notiek ielāde...