كشف باحثون في الأمن السيبراني عن تفاصيل برمجية مصرفية خبيثة جديدة تستهدف المستخدمين في البرازيل، أطلق عليها اسم VENON، وتمثل نقلة نوعية في مشهد البرمجيات الخبيثة اللاتينية، إذ إنها مكتوبة بلغة Rust بدلاً من Delphi التي اعتادت عليها عائلات مثل Grandoreiro وMekotio وCoyote.
خصائص البرمجية VENON
- تعمل على أنظمة Windows.
- تعتمد على تقنيات Banking Overlay لسرقة بيانات تسجيل الدخول عبر نوافذ مزيفة.
- تراقب النوافذ النشطة وعناوين المتصفح لتحديد اللحظة المناسبة للهجوم.
- تستخدم آلية Shortcut Hijacking (LNK) لاستهداف تطبيق بنك Itaú بشكل خاص.
النسخ الأولى من البرمجية التي تعود إلى يناير 2026 كشفت عن مسارات تطوير مرتبطة باسم مستخدم “byst4″، ما يشير إلى هوية مطور فردي أو فريق صغير.
سلسلة العدوى وآليات التهرب
يتم توزيع VENON عبر سلسلة عدوى معقدة تعتمد على DLL Side-Loading، حيث يتم خداع المستخدمين لتنزيل أرشيف ZIP يحتوي على حمولة خبيثة عبر أساليب الهندسة الاجتماعية مثل ClickFix.
بمجرد التنفيذ، تطبق البرمجية تسع تقنيات للتهرب، منها:
- فحص مضاد للـ Sandbox.
- استدعاءات غير مباشرة للنظام (Indirect Syscalls).
- تجاوز ETW وAMSI.
كما تتصل البرمجية بعنوان على Google Cloud Storage للحصول على إعدادات إضافية، وتقوم بإنشاء مهمة مجدولة، وتفتح اتصال WebSocket مع خادم القيادة والسيطرة (C2).
استهداف البنوك والمؤسسات المالية
البرمجية مجهزة لاستهداف 33 مؤسسة مالية ومنصات أصول رقمية، حيث تنشط فقط عند فتح المستخدم لتطبيق أو موقع من بين الأهداف المحددة، لتقديم واجهة مزيفة وسرقة بيانات الاعتماد.
سياق أوسع للهجمات في البرازيل
يأتي الكشف عن VENON في وقت تتزايد فيه الحملات التي تستغل انتشار واتساب في البرازيل. فقد تم رصد دودة خبيثة باسم SORVEPOTEL تنتشر عبر نسخة سطح المكتب من واتساب، وتستغل الجلسات المصادق عليها مسبقاً لإرسال روابط خبيثة مباشرة إلى الضحايا. هذه السلسلة من الهجمات تنتهي غالباً بزرع برمجيات مصرفية مثل Maverick أو Casbaneiro أو Astaroth، والتي يمكنها العمل بالكامل في الذاكرة دون ترك آثار واضحة.
