ЭКСКЛЮЗИВ: Революция Rust в киберпреступности — ИИ-вирус VENON атаковал 33 банка
Новое, чрезвычайно сложное банковское вредоносное ПО, написанное на языке Rust, опустошает финансовый сектор Бразилии, сигнализируя об опасной эволюции латиноамериканской киберпреступности. Угроза, получившая название VENON, знаменует резкий отход от традиционных для региона семейств вирусов на Delphi, демонстрируя технический уровень, который глубоко тревожит экспертов по кибербезопасности. Его основное оружие — фишинговые наложения для кражи учетных данных, нацеленные на клиентов 33 крупнейших бразильских банков.
Цепочка заражения VENON — это мастер-класс по обману и уклонению от обнаружения. Она начинается с изощренной фишинговой кампании, использующей такие приманки, как поддельные обновления ПО, для доставки злонамеренного ZIP-архива. После запуска через скрипт PowerShell вредоносная программа применяет технику side-loading DLL для активации своего полезного кода. Прежде чем начать кражу, VENON выполняет девять продвинутых методов уклонения, включая проверки на наличие песочницы и обход AMSI, чтобы остаться незамеченным для современных систем защиты.
Подлинным отличием этой операции является её предполагаемое происхождение. Исследователи, анализирующие структуру кода на Rust, видят паттерны, указывающие, что разработчик использовал генеративный искусственный интеллект для переписывания и расширения возможностей известных троянов, таких как Grandoreiro, создав эту новую, более мощную форму. «Это не просто новый вирус; это новая методология. Мы наблюдаем, как ИИ используется для создания более устойчивых и сложных эксплойтов, потенциально снижая порог входа для серьёзной киберпреступности», — заявил старший аналитик по угрозам, знакомый с расследованием.
Для мирового сообщества кибербезопасности VENON — это сигнал высшей тревоги. Он демонстрирует, что злоумышленники быстро осваивают безопасные языки программирования, такие как Rust, для создания скрытных угроз, одновременно используя ИИ для ускорения разработки. Это создаёт мощный рецепт для более частых и разрушительных утечек данных. Передовые тактики вируса, включая косвенные системные вызовы и обход ETW, вскоре станут стандартом, бросая вызов существующим парадигмам обнаружения.
Обнаружение в коде путей к среде разработки, указывающих на имя пользователя «byst4», даёт редкую зацепку, но сама группа остаётся неустановленной и находится на свободе. Способность VENON подменять ярлыки банковских приложений и устанавливать устойчивое WebSocket-соединение со своим командным сервером представляет собой явную и непосредственную опасность. Сам его дизайн, включая функцию удаления для сокрытия следов, свидетельствует о профессиональном подходе и долгосрочной угрозе для финансовой инфраструктуры.
