ใบเสนอราคาส่วนลดใบอนุญาตหลายใบ
ฐานข้อมูลภัยคุกคาม มัลแวร์บนมือถือ VENON มัลแวร์โจมตีระบบธนาคาร

VENON มัลแวร์โจมตีระบบธนาคาร

โดย Mezo ใน มัลแวร์บนมือถือ, โทรจันธนาคาร
แปลเป็น:

นักวิจัยด้านความปลอดภัยทางไซเบอร์ได้ค้นพบมัลแวร์โจมตีระบบธนาคารรูปแบบใหม่ที่มุ่งเป้าไปที่ผู้ใช้ในบราซิล มัลแวร์ดังกล่าวมีชื่อว่า VENON ซึ่งถือเป็นการเปลี่ยนแปลงที่สำคัญในระบบนิเวศอาชญากรรมไซเบอร์ในภูมิภาคนี้ เนื่องจากเขียนด้วยภาษาโปรแกรม Rust แทนที่จะเป็น Delphi ซึ่งเป็นภาษาที่ใช้กันมาแต่เดิม

การเปลี่ยนแปลงแนวทางการพัฒนาครั้งนี้ถือเป็นการวิวัฒนาการครั้งสำคัญของมัลแวร์โจมตีระบบธนาคารในละตินอเมริกา ซึ่งในอดีตพึ่งพาเฟรมเวิร์กที่ใช้ Delphi เป็นหลัก VENON มุ่งเป้าไปที่ระบบปฏิบัติการ Windows โดยเฉพาะ และถูกค้นพบครั้งแรกในเดือนกุมภาพันธ์ 2026

ความคล้ายคลึงทางพฤติกรรมกับมัลแวร์ประเภทโทรจันที่ใช้ในระบบธนาคาร

ถึงแม้ว่า VENON จะใช้ภาษาการเขียนโปรแกรมที่ทันสมัย แต่ก็มีพฤติกรรมการทำงานที่สอดคล้องกับมัลแวร์ประเภทโทรจันที่โจมตีระบบธนาคารในละตินอเมริกาที่รู้จักกันดี เช่น Grandoreiro, Mekotio และ Coyote

มัลแวร์นี้ได้รวมเอาความสามารถหลายอย่างที่มักพบในภัยคุกคามประเภทนี้ไว้ด้วยกัน:

  • ระบบตรรกะซ้อนทับทางการธนาคารที่ออกแบบมาเพื่อปลอมแปลงเป็นอินเทอร์เฟซทางการเงินที่ถูกต้องตามกฎหมาย
  • การตรวจสอบหน้าต่างอย่างต่อเนื่องเพื่อตรวจจับแอปพลิเคชันหรือเว็บไซต์ธนาคารเป้าหมาย
  • กลไกการโจรกรรมทางลัด (LNK) เพื่อเปลี่ยนเส้นทางเหยื่อไปยังโครงสร้างพื้นฐานที่เป็นอันตราย

ความคล้ายคลึงเหล่านี้บ่งชี้ว่า VENON ได้รับการออกแบบโดยอาศัยความรู้เชิงลึกเกี่ยวกับรูปแบบการปฏิบัติงานที่ใช้โดยแคมเปญมัลแวร์โจมตีธนาคารที่มีอยู่แล้วในภูมิภาคนี้

เบาะแสการพัฒนาและการใช้งานที่เป็นไปได้ของปัญญาประดิษฐ์เชิงสร้างสรรค์

ยังไม่มีการระบุอย่างเป็นทางการว่าแคมเปญนี้มาจากกลุ่มผู้ก่อภัยคุกคามหรือกลุ่มอาชญากรไซเบอร์ใด อย่างไรก็ตาม การวิเคราะห์ทางนิติวิทยาศาสตร์ของเวอร์ชันก่อนหน้าจากเดือนมกราคม 2026 พบร่องรอยของสภาพแวดล้อมการพัฒนาที่ฝังอยู่ในไฟล์ไบนารี เส้นทางไฟล์อ้างอิงถึงโปรไฟล์ผู้ใช้ Windows ที่มีชื่อว่า 'byst4' ซ้ำๆ เช่น C:\Users\byst4... ซึ่งบ่งชี้ถึงข้อมูลเชิงลึกที่เป็นไปได้เกี่ยวกับการตั้งค่าการพัฒนาของผู้ก่อภัยคุกคาม

การวิเคราะห์โค้ดเพิ่มเติมชี้ให้เห็นโครงสร้างที่สอดคล้องกับนักพัฒนาที่คุ้นเคยกับเทคนิคการโจมตีด้วยมัลแวร์ด้านการธนาคารในละตินอเมริกาอยู่แล้ว ในขณะเดียวกัน โค้ดเบสยังชี้ให้เห็นถึงความเป็นไปได้ในการใช้เครื่องมือ AI แบบสร้างสรรค์เพื่อปรับปรุงหรือขยายขีดความสามารถที่มีอยู่เดิมในภาษา Rust การนำฟังก์ชันการทำงานดังกล่าวไปใช้ใน Rust นั้นต้องการความเชี่ยวชาญทางเทคนิคอย่างมาก ซึ่งเน้นให้เห็นถึงความซับซ้อนของโครงการนี้

ห่วงโซ่การติดเชื้อหลายขั้นตอนและกลยุทธ์การหลบเลี่ยง

VENON ถูกส่งผ่านห่วงโซ่การติดเชื้อที่มีโครงสร้างอย่างระมัดระวัง ซึ่งในที่สุดจะเรียกใช้ไลบรารีลิงก์แบบไดนามิกที่เป็นอันตรายผ่านการโหลด DLL จากด้านข้าง เชื่อกันว่าแคมเปญนี้อาศัยกลยุทธ์ทางวิศวกรรมสังคมที่คล้ายกับเทคนิค ClickFix เพื่อโน้มน้าวให้เหยื่อดาวน์โหลดไฟล์ ZIP ที่มีเพย์โหลดอยู่

การทำงานเริ่มต้นด้วยสคริปต์ PowerShell ที่ดึงและเรียกใช้ส่วนประกอบที่เป็นอันตราย ก่อนที่จะเริ่มกิจกรรมที่เป็นอันตรายใดๆ DLL จะดำเนินการมาตรการหลบเลี่ยงการป้องกันอย่างครอบคลุม:

  • การตรวจสอบการป้องกันแซนด์บ็อกซ์
  • การเรียกใช้ระบบทางอ้อมเพื่อหลีกเลี่ยงการตรวจสอบความปลอดภัย
  • เทคนิคการหลีกเลี่ยง ETW (Event Tracing for Windows)
  • กลไกการข้ามการตรวจสอบ AMSI (Antimalware Scan Interface)
  • ขั้นตอนการวิเคราะห์ต่อต้านเพิ่มเติมซึ่งประกอบเป็นกลยุทธ์การหลีกเลี่ยงทั้งหมดเก้าแบบ

หลังจากผ่านการตรวจสอบเหล่านี้แล้ว มัลแวร์จะดึงข้อมูลการกำหนดค่าจากทรัพยากรที่โฮสต์บนคลาวด์ซึ่งจัดเก็บไว้บนโครงสร้างพื้นฐานของ Google Cloud จากนั้นจะติดตั้งงานที่กำหนดเวลาไว้เพื่อความคงอยู่ และสร้างการเชื่อมต่อ WebSocket กับเซิร์ฟเวอร์ควบคุมและสั่งการของมัน

การโจมตีแบบเจาะจงเป้าหมายโดยใช้ทางลัดเพื่อขโมยซอฟต์แวร์ธนาคาร Itaú

ไฟล์ DLL ที่เป็นอันตรายนี้ยังประกอบด้วยสคริปต์ฝังตัวสองตัวที่เขียนด้วย Visual Basic Script สคริปต์เหล่านี้ดำเนินการโจรกรรมทางลัดโดยมีเป้าหมายเฉพาะเจาะจงที่แอปพลิเคชันเดสก์ท็อปของ Itaú Unibanco

กลไกนี้จะแทนที่ทางลัดของระบบที่ถูกต้องด้วยเวอร์ชันที่ถูกดัดแปลง ซึ่งจะเปลี่ยนเส้นทางเหยื่อไปยังหน้าเว็บที่ผู้โจมตีควบคุมไว้ โดยมีเป้าหมายเพื่อขโมยข้อมูลทางการเงินที่สำคัญ แนวทางที่มุ่งเป้าหมายเช่นนี้แสดงให้เห็นว่ามีการโจมตีแพลตฟอร์มธนาคารที่มีมูลค่าสูงในบราซิลอย่างหนัก

ที่น่าสนใจคือ มัลแวร์นี้มีฟังก์ชันถอนการติดตั้งที่สามารถกู้คืนทางลัดเดิมได้ ฟังก์ชันนี้บ่งชี้ถึงการควบคุมจากระยะไกลและช่วยให้ผู้โจมตีสามารถลบหลักฐานการถูกบุกรุกได้เมื่อการดำเนินการเสร็จสิ้น

กลยุทธ์การกำหนดเป้าหมายทางการเงินในวงกว้างและการขโมยข้อมูลประจำตัว

VENON ถูกออกแบบมาเพื่อตรวจสอบทั้งชื่อหน้าต่างที่ใช้งานอยู่และโดเมนของเบราว์เซอร์ ทำให้สามารถตรวจจับได้ว่าผู้ใช้เข้าถึงบริการทางการเงินเมื่อใด มัลแวร์นี้ถูกตั้งค่าให้จดจำกิจกรรมที่เกี่ยวข้องกับสถาบันการเงินและแพลตฟอร์มสินทรัพย์ดิจิทัล 33 แห่ง

เมื่อตรวจพบแอปพลิเคชันหรือเว็บไซต์เป้าหมายแล้ว มัลแวร์จะแสดงหน้าจอซ้อนทับปลอมที่เลียนแบบหน้าจอเข้าสู่ระบบที่ถูกต้อง ผู้ที่ตกเป็นเหยื่อที่โต้ตอบกับหน้าจอซ้อนทับเหล่านี้จะส่งข้อมูลประจำตัวของตนให้กับผู้โจมตีโดยไม่รู้ตัว ทำให้ผู้โจมตีสามารถเข้ายึดบัญชีและขโมยเงินได้

มาแรง

พรีคลูสโตร์.คอม

เว็บไซต์อันธพาล, แฮกเกอร์เบราว์เซอร์
Precludestore.com ถูกระบุว่าเป็นเว็บไซต์หลอกลวง โดยมีลิงก์ในเครือถือว่าไม่น่าเชื่อถือ ผู้ใช้มักพบไซต์นี้ผ่านโฆษณาป๊อปอัปที่ไม่คาดคิด ซึ่งแสดง URL ของไซต์ในระหว่างกิจกรรมออนไลน์ตามปกติ เช่น...

Tarwils.com

เว็บไซต์อันธพาล, แอดแวร์
Tarwils.com คือ URL ที่เชื่อมโยงกับเว็บเพจหลอกลวงซึ่งใช้กลวิธีที่ผิดจรรยาบรรณ เป้าหมายหลักคือการส่งเสริมกลยุทธ์และการส่งการแจ้งเตือนเบราว์เซอร์ที่รุกรานไปยังผู้ใช้ นอกจากนี้...

Suddslife.com

เว็บไซต์อันธพาล, แอดแวร์
การนำทางอินเทอร์เน็ตต้องใช้ความระมัดระวังและความระมัดระวังเพื่อหลีกเลี่ยงการตกเป็นเหยื่อของกลยุทธ์ออนไลน์ เว็บไซต์อันธพาลอย่าง Suddslife.com เป็นตัวอย่างที่ดีของอันตรายที่ซุ่มซ่อนทางออนไลน์...

เข้าชมมากที่สุด

เอพอนเนอร์ดอทคอม

ปัญหา
23,128
อินเทอร์เน็ตเป็นพื้นที่กว้างใหญ่ที่เต็มไปด้วยเนื้อหาที่มีประโยชน์ ความบันเทิง และข้อมูลต่างๆ แต่ก็มีมุมมืดด้วยเช่นกัน ไม่ว่าคุณจะกำลังสตรีมรายการ ดาวน์โหลดแอป...

Fuq.คอม

โปรแกรมต่อต้านสปายแวร์ Rogue, มัลแวร์ Mac
21,844
Fuq.com เป็นโปรแกรมประเภทแอดแวร์ที่ส่งเสริมเว็บไซต์ที่มีเนื้อหาอนาจาร แคมเปญโฆษณาของโปรแกรมที่อาจไม่เป็นที่ต้องการ (PUP) นี้มีความก้าวร้าวมาก...
กำลังโหลด...