Поделиться
Банковский троянец переписали на Rust с помощью ИИ
Вредоносная программа VENON функционально повторяет самые распространённые в Латинской Америке банковские вредоносы, но с существенным отличием. Исследователи считают, что он создан с помощью вайб-кодинга.
Rust не так прост
Эксперты бразильской ИБ-компании ZenoX выявили новый банковский вредонос, атакующий пользователей Windows. Отличительной чертой вредоносной программы VENON является то, что она написана на языке Rust.
Как отмечает издание The Hacker News, для латиноамериканской киберкриминальной экосистемы более характерны вредоносные программы, написанные на Delphi. В то же время VENON явно написан людьми, которые хорошо знакомы с функциональностью самых распространённых в регионе семейств банковских троянцев - Grandoreiro, Mekotio и Coyote.
Логика перекрытия банковских страниц, активный мониторинг окна и механизм перехвата ссылок LNK в VENON выглядят примерно так же, как и в вышеперечисленных вредоносах.
«Структура кода на Rust заставляет предположить, что разработчик знаком с функциональными возможностями банковских троянцев, распространённых в Латинской Америке, при этом он использовал генеративный ИИ для воссоздания и расширения этой функциональности на Rust, языке, который требует существенного уровня технической подготовленности и опыта для использования на том уровне сложности, который наблюдается в данном случае», - написали исследователи.
«Поскольку определённые LLM-системы позволяют писать любые программы, в том числе, вредоносные, появление «вайбкодинговых» вредоносов было неизбежным, - полагает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. - Пока что код, написанный с помощью ИИ, с долей уверенности можно идентифицировать по косвенным признакам. Но, вероятнее всего, по прошествии времени отличить «синтетический» код от написанного человеком будет уже невозможно. Будущее информационной безопасности явно связано с ИИ, причём «по обе стороны баррикад».
Проассоциировать вредонос с какой-либо известной группировкой или кампанией пока не удалось. В раннем варианте вредоноса, датированном январём 2026 года, выявлены артефакты, которые указывают на пользовательское имя разработчика вредоноса - C:\Users\byst4\.
Под таким названием (точнее, индексом) BYST4 на Ebay продаётся наживка для рыбной ловли Booya Streak IV.
Процедурные последовательности
VENON распространяется посредством сложной последовательности, которая включает побочную подгрузку DLL для запуска основной библиотеки вредоноса. Существуют подозрения, что злоумышленники также используются стандартные разновидности социальной инженерии, такие, например, как ClickFix, заставляя пользователей загружать себе вредоносный архив ZIP через скрипт PowerShell.
Вредоносная библиотека (DLL) использует сразу девять различных вариантов обеспечения скрытности, в том числе, производит проверку на предмет среды виртуализации, осуществляет косвенные системные вызовы, пытается обойти ETW (службу телеметрии Event Tracing for Windows) и AMSI (интерфейс антивирусного сканирования), и только после успешного прохождения всех этих проверок начинает осуществлять действия, которые можно счесть вредоносными.
VENON скачивает с URL в Google Cloud Storage данные для настроек, создаёт в планировщике системную задачу и устанавливает соединение через WebSocket с контрольным сервером.
Из вредоносного DLL также выгружаются два блока, которые производят перехват системных ярлыков Windows; эти блоки представляют собой скрипты Visual Basic, и они нацелены исключительно на банковское приложение Itaú: жертву с помощью подмены системных ярлыков перенаправляют на веб-страницу под контролем злоумышленников.
Любопытно, что разработчик встроил механизм отката, восстанавливающий ярлыки к исходным значениям, по-видимому, чтобы заметать следы.
В целом вредонос способен атаковать 33 различных финансовых учреждения и криптоплатформ. Для этого он отслеживает название текущего окна браузера и активный домен. Когда жертва заходит на любой из этих ресурсов или запускает специализированные приложения, вредоносная программа перекрывает экран имитационным слоем и тем самым перехватывает реквизиты доступа.
Поделиться
Короткая ссылка
