أعلنت شركة الأمن السيبراني البرازيلية ZenoX عن اكتشاف مالوير مصرفي جديد يحمل اسم VENON، يستهدف مستخدمي البنوك في البرازيل ويشكل نقلة نوعية في مشهد الجريمة الإلكترونية بالمنطقة. على عكس معظم البرمجيات الخبيثة اللاتينية التي تعتمد على لغة Delphi مثل Grandoreiro وMekotio وCoyote، فإن VENON مكتوب بلغة Rust، وهي لغة برمجية حديثة ومعقدة، ما يعكس خبرة تقنية عالية لدى مطوريه.
المالوير مصمم لإصابة أنظمة Windows ويعتمد على تقنيات متقدمة مثل مراقبة النوافذ النشطة، منطق التراكب المصرفي (Banking Overlay)، وآلية اختراق اختصارات النظام (LNK hijacking)، وهي سمات مألوفة في التروجانات المصرفية المنتشرة في أمريكا اللاتينية.
سلسلة إصابة معقدة وتكتيكات مراوغة
يتم توزيع VENON عبر سلسلة إصابة متطورة تبدأ بتحميل مكتبة DLL خبيثة باستخدام تقنية DLL side-loading، غالباً عبر حيل اجتماعية مثل ClickFix التي تخدع المستخدمين لتنزيل أرشيف ZIP يحتوي على الحمولة.
بمجرد التنفيذ، يستخدم المالوير تسع تقنيات مراوغة، منها فحص بيئات الاختبار (anti-sandbox)، استدعاءات غير مباشرة (indirect syscalls)، تجاوز أنظمة مراقبة الأحداث (ETW bypass)، وتجاوز واجهة AMSI الخاصة بفحص السكربتات. بعد ذلك يتصل بعنوان تخزين سحابي على Google Cloud Storage للحصول على إعدادات إضافية، ويثبت مهمة مجدولة، ثم ينشئ اتصالاً عبر WebSocket مع خادم التحكم والسيطرة (C2).
استهداف مباشر لتطبيقات مصرفية
من بين المكونات المستخرجة من مكتبة DLL، وُجدت سكربتات بلغة VBScript تستهدف بشكل حصري تطبيق بنك Itaú البرازيلي، حيث تقوم باستبدال الاختصارات الشرعية بنسخ مزيفة توجه الضحية إلى صفحات تحت سيطرة المهاجمين. اللافت أن المالوير يدعم خطوة إلغاء التثبيت لإعادة الاختصارات إلى حالتها الأصلية، ما يشير إلى قدرة المهاجمين على التحكم عن بُعد وتغطية آثارهم عند الحاجة.
بشكل عام، يستطيع VENON مراقبة عناوين النوافذ والنطاقات النشطة في المتصفح، ولا يبدأ نشاطه إلا عند فتح أحد التطبيقات أو المواقع المصرفية المستهدفة. حينها يعرض تراكبات مزيفة لسرقة بيانات الدخول، مستهدفاً ما يصل إلى 33 مؤسسة مالية ومنصات أصول رقمية.
خلفية أوسع: بيئة خصبة للهجمات المصرفية في البرازيل
يأتي الكشف عن VENON في وقت تتزايد فيه الحملات التي تستغل انتشار واتساب في البرازيل لنشر برمجيات خبيثة مثل SORVEPOTEL، وهو دودة رقمية توزع عبر نسخة سطح المكتب للمنصة. هذه الهجمات تعتمد على استغلال المحادثات المصادق عليها مسبقاً لإرسال روابط خبيثة مباشرة إلى الضحايا، ما يؤدي في النهاية إلى نشر مالوير مصرفي مثل Maverick وCasbaneiro وAstaroth.
بحسب تقارير أمنية، فإن رسالة واحدة عبر واتساب كانت كافية لإطلاق سلسلة متعددة المراحل انتهت بزرع مالوير Astaroth يعمل بالكامل في الذاكرة، وهو ما يوضح مدى خطورة البيئة الرقمية في البرازيل، حيث تتلاقى أدوات محلية مع تقنيات حديثة كالذكاء الاصطناعي ولغة Rust لتشكيل تهديدات غير مسبوقة.
