Kuota e zbritjes me shumë licencë
Baza e të dhënave të kërcënimeve Malware celular VENON Banking Malware

VENON Banking Malware

Nga MezoMalware celular, Trojan bankar
Përkthe në:

Studiuesit e sigurisë kibernetike kanë zbuluar një fushatë të re programesh keqdashëse bankare që synojnë përdoruesit në Brazil. Malware-i, i quajtur VENON, shënon një ndryshim të dukshëm në ekosistemin rajonal të krimit kibernetik sepse është shkruar në gjuhën e programimit Rust në vend të gjuhës Delphi që përdoret tradicionalisht.

Ky ndryshim në qasjen e zhvillimit përfaqëson një evolucion të rëndësishëm në malware-in bankar të Amerikës Latine, i cili historikisht është mbështetur në kornizat e bazuara në Delphi. VENON synon posaçërisht mjediset e Windows dhe u zbulua fillimisht në shkurt 2026.

Paralele sjelljeje me trojanët bankarë të vendosur

Pavarësisht gjuhës së tij moderne të implementimit, VENON shfaq sjellje operative në përputhje me trojanë bankarë të njohur të Amerikës Latine, siç janë Grandoreiro, Mekotio dhe Coyote.

Malware integron disa aftësi që zakonisht shoqërohen me këto kërcënime:

  • Logjika e mbivendosjes bankare e projektuar për të imituar ndërfaqet legjitime financiare
  • Monitorim aktiv i dritares për të zbuluar aplikacione ose faqe interneti bankare të synuara
  • Mekanizmat e rrëmbimit të shkurtoreve (LNK) për të ridrejtuar viktimat drejt infrastrukturës së dëmshme

Këto ngjashmëri sugjerojnë që VENON është projektuar me njohuri të hollësishme të modeleve operative të përdorura nga fushatat ekzistuese të malware-it bankar në rajon.

Indikacione Zhvillimi dhe Përdorimi i Mundshëm i IA-së Gjenerative

Fushata ende nuk i është atribuar zyrtarisht një aktori të njohur kërcënimi ose grupi kriminal kibernetik. Megjithatë, analiza mjeko-ligjore e një ndërtimi të mëparshëm nga janari 2026 zbuloi gjurmë të mjedisit të zhvilluesit të ngulitur në binar. Shtigjet e skedarëve i referohen në mënyrë të përsëritur një profili përdoruesi të Windows të etiketuar 'byst4', siç është C:\Users\byst4..., duke treguar një informacion të mundshëm mbi konfigurimin e zhvillimit të aktorit kërcënim.

Analiza e kodit tregon më tej një strukturë në përputhje me zhvilluesit që janë tashmë të njohur me teknikat e malware-it bankar të Amerikës Latine. Në të njëjtën kohë, baza e kodit sugjeron përdorimin e mundshëm të mjeteve gjeneruese të IA-së për të rifaktorizuar ose zgjeruar aftësitë e krijuara më parë në Rust. Zbatimi i një funksionaliteti të tillë në Rust kërkon ekspertizë të konsiderueshme teknike, duke nxjerrë në pah sofistikimin që qëndron pas projektit.

Zinxhiri i Infeksionit Shumëfazor dhe Taktikat e Shmangies

VENON shpërndahet përmes një zinxhiri infeksioni të strukturuar me kujdes që në fund të fundit ekzekuton një bibliotekë lidhjesh dinamike dashakeqe përmes ngarkimit anësor të DLL. Besohet se fushata mbështetet në strategji të inxhinierisë sociale të ngjashme me teknikën ClickFix për të bindur viktimat të shkarkojnë një arkiv ZIP që përmban ngarkesën.

Ekzekutimi fillon me një skript PowerShell që rikuperon dhe nis komponentët keqdashës. Përpara se të fillojë ndonjë aktivitet keqdashës, DLL kryen një sërë masash mbrojtëse për shmangien e kërcënimeve:

  • Kontrollet anti-sandbox
  • Thirrje indirekte të sistemit për të anashkaluar monitorimin e sigurisë
  • Teknikat e anashkalimit të ETW (Gjurmimi i Ngjarjeve për Windows)
  • Mekanizmat e anashkalimit të AMSI (Ndërfaqja e Skanimit Antimalware)
  • Rutina shtesë kundër analizës që formojnë një total prej nëntë strategjish shmangieje

Pasi kalon këto kontrolle, programi keqdashës merr të dhënat e konfigurimit nga një burim i hostuar në cloud, i ruajtur në infrastrukturën e Google Cloud. Pastaj instalon një detyrë të planifikuar për qëndrueshmëri dhe krijon një lidhje WebSocket me serverin e tij të komandës dhe kontrollit.

Rrëmbimi i synuar i shkurtoreve kundër softuerit bankar Itaú

DLL-ja keqdashëse përmban gjithashtu dy skripte të integruara të shkruara në Visual Basic Script. Këto skripte zbatojnë një operacion të synuar të rrëmbimit të shkurtesave të shkurtra të synuara posaçërisht në aplikacionin desktop të Itaú Unibanco.

Mekanizmi zëvendëson shkurtoret legjitime të sistemit me versione të manipuluara që i ridrejtojnë viktimat në faqet e internetit të kontrolluara nga sulmuesit, të dizajnuara për të kapur kredencialet financiare të ndjeshme. Kjo qasje e synuar tregon një fokus të fortë në platformat bankare me vlerë të lartë brenda Brazilit.

Është interesante se programi keqdashës përfshin një aftësi çinstalimi që mund të rivendosë shkurtoret origjinale. Ky funksionalitet nënkupton kontroll të largët nga operatori dhe u mundëson sulmuesve të heqin provat e kompromentimit pasi të përfundojë një operacion.

Strategjia e Gjerë e Targetimit Financiar dhe Vjedhjes së Kredencialeve

VENON është projektuar për të monitoruar si titujt aktivë të dritareve ashtu edhe domenet e shfletuesit, duke e mundësuar atë të zbulojë kur përdoruesit hyjnë në shërbime financiare. Malware është konfiguruar për të njohur aktivitetin që përfshin 33 institucione financiare dhe platforma asetesh dixhitale.

Pasi zbulohet një aplikacion ose faqe interneti e synuar, programi keqdashës vendos ekrane mashtruese mbivendosëse që imitojnë ndërfaqe legjitime hyrjeje. Viktimat që bashkëveprojnë me këto mbivendosje pa e ditur i paraqesin kredencialet e tyre direkt te sulmuesit, duke mundësuar marrjen e llogarisë dhe vjedhjen financiare.

Në trend

Më e shikuara

Po ngarkohet...