Новое вредоносное ПО VENON на языке Rust атакует 33 банка Бразилии с помощью сложных оверлейных атак
Исследователи кибербезопасности обнаружили новую и сложную вредоносную кампанию, нацеленную на финансовые учреждения Бразилии. Угроза, получившая название VENON от бразильской компании ZenoX, представляет собой значительную эволюцию в региональном ландшафте киберпреступности благодаря своему основному языку программирования — Rust. В отличие от большинства устоявшихся латиноамериканских банковских троянов, таких как Grandoreiro, Mekotio и Coyote, которые традиционно написаны на Delphi, архитектура VENON на основе Rust указывает на переход к более современным, безопасным и производительным кодовым базам, которые сложнее анализировать и обнаруживать средствам защиты. Вредоносная программа, впервые обнаруженная в конце 2024 года, предназначена для заражения систем Windows и была замечена в атаках на 33 конкретных бразильских банка, развертывая оверлейные окна для кражи учетных данных.
Техническая сложность VENON очевидна в его цепочке заражения и операционной безопасности. Распространение происходит через многоэтапный процесс, сильно зависящий от социальной инженерии, вероятно, с использованием таких тактик, как мошенничество со службой технической поддержки "ClickFix". Жертв обманом заставляют загрузить ZIP-архив, содержащий вредоносный сценарий PowerShell. Этот скрипт инициирует атаку подмены DLL, когда легитимное подписанное приложение используется для загрузки вредоносной библиотеки. После выполнения вредоносная программа выполняет серию из девяти продвинутых методов уклонения, прежде чем будет развернут любой вредоносный код. К ним относятся проверки на наличие песочницы, использование косвенных системных вызовов и обходы Microsoft Event Tracing for Windows и Antimalware Scan Interface. Это многоуровневое уклонение демонстрирует высокий уровень технического мастерства, направленный на противодействие автоматическому анализу безопасности.
Дальнейший анализ ZenoX раскрывает интригующие детали о происхождении и разработке VENON. Хотя угроза еще не приписана известному злоумышленнику, более ранний артефакт января 2024 года содержал жестко прописанные пути к файлам, указывающие на машину разработчика с именем пользователя "byst4". Что более важно, исследователи предполагают, что разработчик, будучи знакомым с возможностями существующих латиноамериканских банковских троянов, мог использовать генеративный искусственный интеллект для помощи в переписывании и расширении этих функций на Rust. Эта гипотеза основана на паттернах в структуре кода.
Rust — это язык с безопасной памятью, требующий значительного опыта для эффективного использования. Его выбор для создания банковского трояна указывает на стремление злоумышленников повысить устойчивость и скрытность своего кода. Это также усложняет работу аналитиков по безопасности, привыкших к более традиционным для региона угрозам. Атаки с использованием наложения окон остаются высокоэффективными для кражи данных в реальном времени.
Эксперты предупреждают, что появление VENON может ознаменовать новую волну более изощренных финансовых угроз в Латинской Америке. Бразильские пользователи и финансовые организации должны проявлять повышенную бдительность в отношении фишинговых сообщений и подозрительных запросов на установку программного обеспечения. Рекомендуется использовать многофакторную аутентификацию и регулярно обновлять антивирусное ПО для противодействия таким сложным угрозам.
