كشف خبراء الأمن السيبراني عن تفاصيل برمجية خبيثة جديدة تُعرف باسم VENON، مطورة بلغة Rust، تستهدف سرقة بيانات عملاء 33 بنكاً عبر تقنيات تراكب الشاشات المتطورة.
يمثل هذا الاكتشاف تحولاً جذرياً في المشهد الأمني، حيث تبتعد البرمجية الجديدة عن عائلات البرمجيات الخبيثة التقليدية المعتمدة على لغة Delphi، والتي كانت شائعة لفترات طويلة في منظومة الجرائم الإلكترونية، خاصة في استهداف المؤسسات المالية.
ما هي قدرات برمجية VENON الخبيثة؟
تم تصميم هذا الفيروس بعناية فائقة لاختراق أنظمة التشغيل ويندوز، وتم اكتشافه لأول مرة خلال الشهر الماضي من قبل خبراء الأمن السيبراني. وتشترك هذه البرمجية المعقدة في العديد من السلوكيات والأنماط مع أحصنة طروادة المصرفية المعروفة سابقاً مثل Grandoreiro و Mekotio.
تعتمد البرمجية على مجموعة من الميزات الخطيرة لسرقة بيانات الضحايا والوصول إلى حساباتهم المصرفية، أبرزها:
- منطق التراكب المصرفي: القدرة على عرض شاشات تسجيل دخول مزيفة وتراكبات وهمية فوق التطبيقات البنكية الحقيقية لسرقة بيانات الاعتماد.
- مراقبة النوافذ النشطة: تتبع دقيق ومستمر لما يقوم به المستخدم على جهازه في الوقت الفعلي لاقتناص اللحظة المناسبة للهجوم.
- اختطاف الاختصارات (LNK): تعديل اختصارات البرامج والتطبيقات لتوجيه الضحية دون علمه إلى مواقع خبيثة للتحكم في حساباته.
كيف تتم عملية الاختراق والعدوى؟
وفقاً لما تابعه فريق تيكبامين، يتم توزيع برمجية VENON الخبيثة من خلال سلسلة عدوى شديدة التعقيد تعتمد بشكل أساسي على التحميل الجانبي لملفات مكتبة الارتباط الديناميكي (DLL). يستخدم المهاجمون حيل الهندسة الاجتماعية المتقدمة لخداع المستخدمين وإيقاعهم في الفخ.
تبدأ عملية الإصابة بسلسلة من الخطوات التكتيكية:
- خداع المستخدم لتنزيل ملف مضغوط (ZIP) مفخخ عبر تقنيات خبيثة مثل حملات ClickFix الوهمية.
- تشغيل برنامج نصي متخفي عبر أداة PowerShell لتنفيذ الأوامر الخبيثة الأولية في الخلفية.
- تنفيذ 9 تقنيات مراوغة متطورة، بما في ذلك تجاوز برامج مكافحة الفيروسات (AMSI) وتخطي بيئات الفحص الرملي (Sandbox).
- إنشاء اتصال آمن بخوادم جوجل السحابية لجلب التكوينات الإضافية وإعداد مهام مجدولة لضمان البقاء في النظام.
هل تم استخدام الذكاء الاصطناعي في تطويرها؟
على الرغم من عدم ربط هذه البرمجية الخبيثة بأي مجموعة اختراق إلكتروني معروفة أو حملات سابقة حتى الآن، إلا أن المحللين وجدوا آثاراً مهمة تشير إلى مطور يستخدم الاسم المستعار "byst4" في بيئة التطوير الخاصة به. المثير للاهتمام في هذا التهديد هو الهيكل البرمجي المعقد وكيفية كتابته.
أشارت التحليلات الأمنية إلى أن المطور لديه خبرة واسعة وإلمام كامل بقدرات أحصنة طروادة المصرفية، ولكنه على الأرجح استخدم أدوات الذكاء الاصطناعي التوليدي لإعادة كتابة وتوسيع هذه الوظائف المعقدة بلغة Rust. وتعتبر هذه اللغة قوية جداً وتتطلب خبرة فنية كبيرة لاستخدامها بهذا المستوى العالي من التعقيد والمراوغة.
استهداف دقيق لتطبيقات البنوك
تتضمن البرمجية الخبيثة آليات محددة ومخصصة لاستهداف تطبيقات بنكية معينة، مثل تطبيق Itaú الشهير. تعمل هذه المكونات المستخرجة من ملفات DLL من خلال استبدال اختصارات النظام الشرعية للتطبيق بنسخ معدلة ومزيفة، مما يعيد توجيه الضحية بسلاسة إلى صفحة ويب احتيالية يتحكم فيها المهاجمون بالكامل.
كما يدعم هذا الهجوم المعقد ميزة التدمير الذاتي لمسح آثاره من جهاز الضحية، مما يوضح لفريق تيكبامين أن العملية برمتها يمكن التحكم فيها عن بُعد من قبل المشغل لاستعادة الاختصارات إلى حالتها الأصلية وتجنب اكتشاف التهديد من قبل فرق الاستجابة الأمنية.
