VENON ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਖੋਜਕਰਤਾਵਾਂ ਨੇ ਬ੍ਰਾਜ਼ੀਲ ਵਿੱਚ ਉਪਭੋਗਤਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਨਵੀਂ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮ ਦਾ ਪਰਦਾਫਾਸ਼ ਕੀਤਾ ਹੈ। VENON ਨਾਮਕ ਇਹ ਮਾਲਵੇਅਰ ਖੇਤਰੀ ਸਾਈਬਰ ਕ੍ਰਾਈਮ ਈਕੋਸਿਸਟਮ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਤਬਦੀਲੀ ਦੀ ਨਿਸ਼ਾਨਦੇਹੀ ਕਰਦਾ ਹੈ ਕਿਉਂਕਿ ਇਹ ਰਵਾਇਤੀ ਤੌਰ 'ਤੇ ਵਰਤੀ ਜਾਂਦੀ ਡੇਲਫੀ ਦੀ ਬਜਾਏ ਰਸਟ ਪ੍ਰੋਗਰਾਮਿੰਗ ਭਾਸ਼ਾ ਵਿੱਚ ਲਿਖਿਆ ਗਿਆ ਹੈ।

ਵਿਕਾਸ ਪਹੁੰਚ ਵਿੱਚ ਇਹ ਤਬਦੀਲੀ ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਵਿਕਾਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ, ਜੋ ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ ਡੇਲਫੀ-ਅਧਾਰਿਤ ਫਰੇਮਵਰਕ 'ਤੇ ਨਿਰਭਰ ਕਰਦਾ ਹੈ। VENON ਖਾਸ ਤੌਰ 'ਤੇ ਵਿੰਡੋਜ਼ ਵਾਤਾਵਰਣਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਸ਼ੁਰੂ ਵਿੱਚ ਫਰਵਰੀ 2026 ਵਿੱਚ ਖੋਜਿਆ ਗਿਆ ਸੀ।

ਸਥਾਪਿਤ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨਾਂ ਨਾਲ ਵਿਵਹਾਰਕ ਸਮਾਨਤਾਵਾਂ

ਆਪਣੀ ਆਧੁਨਿਕ ਲਾਗੂਕਰਨ ਭਾਸ਼ਾ ਦੇ ਬਾਵਜੂਦ, VENON ਗ੍ਰੈਂਡੋਰੀਰੋ, ਮੇਕੋਟੀਓ ਅਤੇ ਕੋਯੋਟ ਵਰਗੇ ਮਸ਼ਹੂਰ ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਬੈਂਕਿੰਗ ਟ੍ਰੋਜਨਾਂ ਦੇ ਅਨੁਕੂਲ ਕਾਰਜਸ਼ੀਲ ਵਿਵਹਾਰ ਪ੍ਰਦਰਸ਼ਿਤ ਕਰਦਾ ਹੈ।

ਇਹ ਮਾਲਵੇਅਰ ਕਈ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਏਕੀਕ੍ਰਿਤ ਕਰਦਾ ਹੈ ਜੋ ਆਮ ਤੌਰ 'ਤੇ ਇਹਨਾਂ ਖਤਰਿਆਂ ਨਾਲ ਜੁੜੀਆਂ ਹੁੰਦੀਆਂ ਹਨ:

• ਬੈਂਕਿੰਗ ਓਵਰਲੇਅ ਤਰਕ ਜੋ ਜਾਇਜ਼ ਵਿੱਤੀ ਇੰਟਰਫੇਸਾਂ ਦੀ ਨਕਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ
• ਨਿਸ਼ਾਨਾ ਬਣਾਏ ਬੈਂਕਿੰਗ ਐਪਲੀਕੇਸ਼ਨਾਂ ਜਾਂ ਵੈੱਬਸਾਈਟਾਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਲਈ ਸਰਗਰਮ ਵਿੰਡੋ ਨਿਗਰਾਨੀ
• ਪੀੜਤਾਂ ਨੂੰ ਖਤਰਨਾਕ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਵੱਲ ਭੇਜਣ ਲਈ ਸ਼ਾਰਟਕੱਟ (LNK) ਹਾਈਜੈਕਿੰਗ ਵਿਧੀਆਂ

ਇਹ ਸਮਾਨਤਾਵਾਂ ਸੁਝਾਅ ਦਿੰਦੀਆਂ ਹਨ ਕਿ VENON ਨੂੰ ਖੇਤਰ ਵਿੱਚ ਮੌਜੂਦਾ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ ਮੁਹਿੰਮਾਂ ਦੁਆਰਾ ਵਰਤੇ ਜਾਣ ਵਾਲੇ ਸੰਚਾਲਨ ਪੈਟਰਨਾਂ ਦੇ ਵਿਸਤ੍ਰਿਤ ਗਿਆਨ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ।

ਵਿਕਾਸ ਦੇ ਸੁਰਾਗ ਅਤੇ ਜਨਰੇਟਿਵ ਏਆਈ ਦੀ ਸੰਭਾਵਿਤ ਵਰਤੋਂ

ਇਸ ਮੁਹਿੰਮ ਨੂੰ ਅਜੇ ਤੱਕ ਰਸਮੀ ਤੌਰ 'ਤੇ ਕਿਸੇ ਜਾਣੇ-ਪਛਾਣੇ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਜਾਂ ਸਾਈਬਰ ਅਪਰਾਧੀ ਸਮੂਹ ਨਾਲ ਜੋੜਿਆ ਨਹੀਂ ਗਿਆ ਹੈ। ਹਾਲਾਂਕਿ, ਜਨਵਰੀ 2026 ਤੋਂ ਪਹਿਲਾਂ ਦੇ ਇੱਕ ਬਿਲਡ ਦੇ ਫੋਰੈਂਸਿਕ ਵਿਸ਼ਲੇਸ਼ਣ ਨੇ ਬਾਈਨਰੀ ਵਿੱਚ ਸ਼ਾਮਲ ਡਿਵੈਲਪਰ ਦੇ ਵਾਤਾਵਰਣ ਦੇ ਨਿਸ਼ਾਨ ਪ੍ਰਗਟ ਕੀਤੇ। ਫਾਈਲ ਪਾਥ ਵਾਰ-ਵਾਰ 'byst4' ਲੇਬਲ ਵਾਲੇ Windows ਉਪਭੋਗਤਾ ਪ੍ਰੋਫਾਈਲ ਦਾ ਹਵਾਲਾ ਦਿੰਦੇ ਹਨ, ਜਿਵੇਂ ਕਿ C:\Users\byst4..., ਜੋ ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਅਦਾਕਾਰ ਦੇ ਵਿਕਾਸ ਸੈੱਟਅੱਪ ਵਿੱਚ ਸੰਭਾਵੀ ਸੂਝ ਨੂੰ ਦਰਸਾਉਂਦਾ ਹੈ।

ਕੋਡ ਵਿਸ਼ਲੇਸ਼ਣ ਅੱਗੇ ਇੱਕ ਢਾਂਚਾ ਦਰਸਾਉਂਦਾ ਹੈ ਜੋ ਡਿਵੈਲਪਰਾਂ ਨਾਲ ਮੇਲ ਖਾਂਦਾ ਹੈ ਜੋ ਪਹਿਲਾਂ ਹੀ ਲਾਤੀਨੀ ਅਮਰੀਕੀ ਬੈਂਕਿੰਗ ਮਾਲਵੇਅਰ ਤਕਨੀਕਾਂ ਤੋਂ ਜਾਣੂ ਹਨ। ਇਸ ਦੇ ਨਾਲ ਹੀ, ਕੋਡਬੇਸ ਰਸਟ ਵਿੱਚ ਪਹਿਲਾਂ ਤੋਂ ਸਥਾਪਿਤ ਸਮਰੱਥਾਵਾਂ ਨੂੰ ਰੀਫੈਕਟਰ ਕਰਨ ਜਾਂ ਫੈਲਾਉਣ ਲਈ ਜਨਰੇਟਿਵ ਏਆਈ ਟੂਲਸ ਦੀ ਸੰਭਾਵਤ ਵਰਤੋਂ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ। ਰਸਟ ਵਿੱਚ ਅਜਿਹੀ ਕਾਰਜਸ਼ੀਲਤਾ ਨੂੰ ਲਾਗੂ ਕਰਨ ਲਈ ਕਾਫ਼ੀ ਤਕਨੀਕੀ ਮੁਹਾਰਤ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ, ਜੋ ਪ੍ਰੋਜੈਕਟ ਦੇ ਪਿੱਛੇ ਸੂਝ-ਬੂਝ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਮਲਟੀ-ਸਟੇਜ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਅਤੇ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ

VENON ਨੂੰ ਇੱਕ ਧਿਆਨ ਨਾਲ ਸੰਰਚਿਤ ਇਨਫੈਕਸ਼ਨ ਚੇਨ ਰਾਹੀਂ ਡਿਲੀਵਰ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜੋ ਅੰਤ ਵਿੱਚ DLL ਸਾਈਡ-ਲੋਡਿੰਗ ਰਾਹੀਂ ਇੱਕ ਖਤਰਨਾਕ ਡਾਇਨਾਮਿਕ ਲਿੰਕ ਲਾਇਬ੍ਰੇਰੀ ਨੂੰ ਚਲਾਉਂਦਾ ਹੈ। ਮੰਨਿਆ ਜਾਂਦਾ ਹੈ ਕਿ ਇਹ ਮੁਹਿੰਮ ਪੀੜਤਾਂ ਨੂੰ ਪੇਲੋਡ ਵਾਲੇ ਇੱਕ ZIP ਆਰਕਾਈਵ ਨੂੰ ਡਾਊਨਲੋਡ ਕਰਨ ਲਈ ਮਨਾਉਣ ਲਈ ClickFix ਤਕਨੀਕ ਵਰਗੀਆਂ ਸਮਾਜਿਕ-ਇੰਜੀਨੀਅਰਿੰਗ ਰਣਨੀਤੀਆਂ 'ਤੇ ਨਿਰਭਰ ਕਰਦੀ ਹੈ।

ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਇੱਕ PowerShell ਸਕ੍ਰਿਪਟ ਨਾਲ ਸ਼ੁਰੂ ਹੁੰਦਾ ਹੈ ਜੋ ਖਤਰਨਾਕ ਹਿੱਸਿਆਂ ਨੂੰ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਲਾਂਚ ਕਰਦਾ ਹੈ। ਕੋਈ ਵੀ ਖਤਰਨਾਕ ਗਤੀਵਿਧੀ ਸ਼ੁਰੂ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ, DLL ਰੱਖਿਆਤਮਕ ਚੋਰੀ ਦੇ ਉਪਾਵਾਂ ਦਾ ਇੱਕ ਵਿਸ਼ਾਲ ਸੈੱਟ ਕਰਦਾ ਹੈ:

• ਐਂਟੀ-ਸੈਂਡਬਾਕਸ ਜਾਂਚਾਂ
• ਸੁਰੱਖਿਆ ਨਿਗਰਾਨੀ ਨੂੰ ਬਾਈਪਾਸ ਕਰਨ ਲਈ ਅਸਿੱਧੇ ਸਿਸਟਮ ਕਾਲਾਂ
• ETW (ਵਿੰਡੋਜ਼ ਲਈ ਇਵੈਂਟ ਟ੍ਰੇਸਿੰਗ) ਬਾਈਪਾਸ ਤਕਨੀਕਾਂ
• AMSI (ਐਂਟੀਮਾਲਵੇਅਰ ਸਕੈਨ ਇੰਟਰਫੇਸ) ਬਾਈਪਾਸ ਵਿਧੀਆਂ
• ਵਾਧੂ ਵਿਸ਼ਲੇਸ਼ਣ-ਵਿਰੋਧੀ ਰੁਟੀਨ ਜੋ ਕੁੱਲ ਨੌਂ ਚੋਰੀ ਦੀਆਂ ਰਣਨੀਤੀਆਂ ਬਣਾਉਂਦੇ ਹਨ

ਇਹਨਾਂ ਜਾਂਚਾਂ ਨੂੰ ਪਾਸ ਕਰਨ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਗੂਗਲ ਕਲਾਉਡ ਬੁਨਿਆਦੀ ਢਾਂਚੇ 'ਤੇ ਸਟੋਰ ਕੀਤੇ ਕਲਾਉਡ-ਹੋਸਟਡ ਸਰੋਤ ਤੋਂ ਕੌਂਫਿਗਰੇਸ਼ਨ ਡੇਟਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ। ਇਹ ਫਿਰ ਸਥਿਰਤਾ ਲਈ ਇੱਕ ਅਨੁਸੂਚਿਤ ਕਾਰਜ ਸਥਾਪਤ ਕਰਦਾ ਹੈ ਅਤੇ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ ਸਰਵਰ ਨਾਲ ਇੱਕ ਵੈਬਸੌਕੇਟ ਕਨੈਕਸ਼ਨ ਸਥਾਪਤ ਕਰਦਾ ਹੈ।

ਇਟਾਉ ਬੈਂਕਿੰਗ ਸੌਫਟਵੇਅਰ ਵਿਰੁੱਧ ਨਿਸ਼ਾਨਾਬੱਧ ਸ਼ਾਰਟਕੱਟ ਹਾਈਜੈਕਿੰਗ

ਖਤਰਨਾਕ DLL ਵਿੱਚ ਵਿਜ਼ੂਅਲ ਬੇਸਿਕ ਸਕ੍ਰਿਪਟ ਵਿੱਚ ਲਿਖੀਆਂ ਦੋ ਏਮਬੈਡਡ ਸਕ੍ਰਿਪਟਾਂ ਵੀ ਹਨ। ਇਹ ਸਕ੍ਰਿਪਟਾਂ ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਸ਼ਾਰਟਕੱਟ ਹਾਈਜੈਕਿੰਗ ਓਪਰੇਸ਼ਨ ਲਾਗੂ ਕਰਦੀਆਂ ਹਨ ਜਿਸਦਾ ਉਦੇਸ਼ ਖਾਸ ਤੌਰ 'ਤੇ ਇਟਾਉ ਯੂਨੀਬੈਂਕੋ ਦੇ ਡੈਸਕਟੌਪ ਐਪਲੀਕੇਸ਼ਨ 'ਤੇ ਹੁੰਦਾ ਹੈ।

ਇਹ ਵਿਧੀ ਜਾਇਜ਼ ਸਿਸਟਮ ਸ਼ਾਰਟਕੱਟਾਂ ਨੂੰ ਹੇਰਾਫੇਰੀ ਕੀਤੇ ਸੰਸਕਰਣਾਂ ਨਾਲ ਬਦਲਦੀ ਹੈ ਜੋ ਪੀੜਤਾਂ ਨੂੰ ਹਮਲਾਵਰ-ਨਿਯੰਤਰਿਤ ਵੈੱਬ ਪੰਨਿਆਂ ਵੱਲ ਰੀਡਾਇਰੈਕਟ ਕਰਦੇ ਹਨ ਜੋ ਸੰਵੇਦਨਸ਼ੀਲ ਵਿੱਤੀ ਪ੍ਰਮਾਣ ਪੱਤਰਾਂ ਨੂੰ ਹਾਸਲ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤੇ ਗਏ ਹਨ। ਇਹ ਨਿਸ਼ਾਨਾਬੱਧ ਪਹੁੰਚ ਬ੍ਰਾਜ਼ੀਲ ਦੇ ਅੰਦਰ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਬੈਂਕਿੰਗ ਪਲੇਟਫਾਰਮਾਂ 'ਤੇ ਇੱਕ ਮਜ਼ਬੂਤ ਫੋਕਸ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।

ਦਿਲਚਸਪ ਗੱਲ ਇਹ ਹੈ ਕਿ ਮਾਲਵੇਅਰ ਵਿੱਚ ਇੱਕ ਅਣਇੰਸਟੌਲ ਸਮਰੱਥਾ ਸ਼ਾਮਲ ਹੈ ਜੋ ਅਸਲ ਸ਼ਾਰਟਕੱਟਾਂ ਨੂੰ ਬਹਾਲ ਕਰ ਸਕਦੀ ਹੈ। ਇਹ ਕਾਰਜਸ਼ੀਲਤਾ ਰਿਮੋਟ ਆਪਰੇਟਰ ਕੰਟਰੋਲ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ ਅਤੇ ਹਮਲਾਵਰਾਂ ਨੂੰ ਇੱਕ ਵਾਰ ਓਪਰੇਸ਼ਨ ਪੂਰਾ ਹੋਣ ਤੋਂ ਬਾਅਦ ਸਮਝੌਤਾ ਦੇ ਸਬੂਤ ਨੂੰ ਹਟਾਉਣ ਦੇ ਯੋਗ ਬਣਾਉਂਦੀ ਹੈ।

ਵਿਆਪਕ ਵਿੱਤੀ ਨਿਸ਼ਾਨਾ ਅਤੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਚੋਰੀ ਰਣਨੀਤੀ

VENON ਨੂੰ ਸਰਗਰਮ ਵਿੰਡੋ ਟਾਈਟਲ ਅਤੇ ਬ੍ਰਾਊਜ਼ਰ ਡੋਮੇਨ ਦੋਵਾਂ ਦੀ ਨਿਗਰਾਨੀ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ, ਜਿਸ ਨਾਲ ਇਹ ਪਤਾ ਲਗਾਇਆ ਜਾ ਸਕਦਾ ਹੈ ਕਿ ਉਪਭੋਗਤਾ ਕਦੋਂ ਵਿੱਤੀ ਸੇਵਾਵਾਂ ਤੱਕ ਪਹੁੰਚ ਕਰਦੇ ਹਨ। ਮਾਲਵੇਅਰ ਨੂੰ 33 ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਅਤੇ ਡਿਜੀਟਲ ਸੰਪਤੀ ਪਲੇਟਫਾਰਮਾਂ ਨਾਲ ਜੁੜੀ ਗਤੀਵਿਧੀ ਨੂੰ ਪਛਾਣਨ ਲਈ ਕੌਂਫਿਗਰ ਕੀਤਾ ਗਿਆ ਹੈ।

ਇੱਕ ਵਾਰ ਜਦੋਂ ਇੱਕ ਨਿਸ਼ਾਨਾਬੱਧ ਐਪਲੀਕੇਸ਼ਨ ਜਾਂ ਵੈੱਬਸਾਈਟ ਦਾ ਪਤਾ ਲੱਗ ਜਾਂਦਾ ਹੈ, ਤਾਂ ਮਾਲਵੇਅਰ ਧੋਖਾਧੜੀ ਵਾਲੇ ਓਵਰਲੇਅ ਸਕ੍ਰੀਨਾਂ ਨੂੰ ਤੈਨਾਤ ਕਰਦਾ ਹੈ ਜੋ ਜਾਇਜ਼ ਲੌਗਇਨ ਇੰਟਰਫੇਸਾਂ ਦੀ ਨਕਲ ਕਰਦੇ ਹਨ। ਇਹਨਾਂ ਓਵਰਲੇਅ ਨਾਲ ਗੱਲਬਾਤ ਕਰਨ ਵਾਲੇ ਪੀੜਤ ਅਣਜਾਣੇ ਵਿੱਚ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸਿੱਧੇ ਆਪਣੇ ਪ੍ਰਮਾਣ ਪੱਤਰ ਜਮ੍ਹਾਂ ਕਰਾਉਂਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਖਾਤਾ ਟੇਕਓਵਰ ਅਤੇ ਵਿੱਤੀ ਚੋਰੀ ਹੋ ਜਾਂਦੀ ਹੈ।