برمجية فينون الخبيثة المدعومة بلغة رست تظهر مستهدفة ٣٣ بنكاً برازيلياً بهجمات تراكب متطورة
كشف باحثون في الأمن السيبراني عن حملة جديدة ومتطورة لبرمجية مصرفية خبيثة تستهدف المؤسسات المالية في البرازيل. أُطلق على هذا التهديد اسم "فينون" من قبل شركة زينوكس البرازية للأمن السيبراني، ويمثل تطوراً كبيراً في مشهد الجرائم الإلكترونية الإقليمية بسبب لغة البرمجة الأساسية له وهي "رست". على عكس غالبية أحصنة طروادة المصرفية اللاتينية الراسخة، مثل جراندوريرو وميكوتيو وكايوتي، التي تُكتب تقليدياً بلغة دلفي، فإن البنية الأساسية لفينون المعتمدة على رست تشير إلى تحول نحو قواعد برمجية أكثر حداثة وأماناً وأداءً يصعب على أدوات الأمن تحليلها وكشفها. صُممت البرمجية الخبيثة، التي تم تحديدها لأول مرة في أواخر عام ٢٠٢٤، لإصابة أنظمة ويندوز ولوحظ أنها تستهدف ٣٣ بنكاً برازيلياً محدداً، حيث تنشر نوافذ تراكب لسرقة بيانات الاعتماد لالتقاط البيانات الحساسة للمستخدمين.
يتجلى التطور التقني لفينون في سلسلة الإصابة والأمن التشغيلي الخاص بها. يتم توزيع البرمجية الخبيثة عبر عملية متعددة المراحل تعتمد بشكل كبير على الهندسة الاجتماعية، حيث يُحتمل استخدام تكتيكات مثل احتيال الدعم الفني "كليكفيكس". يتم خداع الضحايا لتحميل أرشيف مضغوط يحتوي على نص باورشيل خبيث. يبدأ هذا النص هجوماً لتحميل مكتبة الربط الديناميكي الجانبية، وهي تقنية تُستخدم فيها تطبيقات مشروعة وموقعة لتحميل مكتبة ربط ديناميكي خبيثة. بعد التنفيذ، تقوم البرمجية الخبيثة بسلسلة من تسع تقنيات متقدمة للتجنب قبل نشر أي حمولة خبيثة. تشمل هذه التقنيات فحوصات مضادة للصندوق الرملي، واستخدام استدعاءات نظام غير مباشرة، وتجاوزات لتقنية تتبع أحداث ويندوز وواجهة فحص البرامج الضارة من مايكروسوفت. يوضح هذا الدفاع المتعدد الطبقات مستوى عالياً من الكفاءة التقنية تهدف إلى هزيمة التحليل الأمني الآلي.
يكشف تحليل إضافي لشركة زينوكس تفاصيل مثيرة حول أصول وتطوير فينون. على الرغم من عدم نسبها إلى جهة تهديد معروفة بعد، فإن قطعة أثرية سابقة من يناير ٢٠٢٤ احتوت على مسارات ملفات مشفرة تشير إلى جهاز مطور يحمل اسم المستخدم "بايست فور". والأكثر أهمية، يرى الباحثون أن المطور، على دراية بقدرات أحصنة طروادة المصرفية اللاتينية الحالية، ربما استخدم الذكاء الاصطناعي التوليدي للمساعدة في إعادة كتابة وتوسيع تلك الوظائف بلغة رست. يستند هذا الافتراض على أنماط في هيكل الكود.
تعتبر لغة رست لغة آمنة للذاكرة تتطلب خبرة كبيرة للاستخدام الفعال، مما يشير إلى أن مبتكري فينون يمتلكون مهارات متقدمة أو يستفيدون من أدوات حديثة لتعزيز قدراتهم. يمثل هذا التحول التكنولوجي تحدياً جديداً للدفاعات الأمنية في المنطقة، حيث أن خصائص رست يمكن أن تطيل عمر البرمجيات الخبيثة وتعقد عملية عكس هندستها.
يستهدف البرمجية بشكل أساسي العملاء الأفراد عبر محاكاة واجهات تسجيل الدخول الحقيقية للبنوك. عند زيارة موقع مصرفي، تقوم بحقن نافذة تراكب خبيثة تطالب المستخدم بإدخال بياناته السرية، والتي يتم سرقتها على الفور وإرسالها إلى خوادم يتحكم فيها المهاجمون. تظهر هذه الحملة تركيزاً مستمراً على القطاع المالي البرازيقي، الذي غالباً ما يكون هدفاً رئيسياً للمجموعات الإجرامية الإلكترونية الإقليمية بسبب الانتشار الواسع للخدمات المصرفية الرقمية.
تدعو هذه الاكتشافات المؤسسات المالية والمستخدمين النهائيين في البرازيل إلى تعزيز اليقظة. يجب تحديث برامج مكافحة الفيروسات وأنظمة الكشف، كما أن التوعية بمخاطر رسائل البريد الإلكتروني والمرفقات المشبوهة تبقى حاسمة. يسلط ظهور فينون الضوء على التطور المستمر في التهديدات الإلكترونية والتكيف السريع للمجرمين مع التقنيات واللغات البرمجية الجديدة لتحقيق أهدافهم الخبيثة.
