حصان طروادة VENON للهجمات المصرفية في أمريكا اللاتينية تمت إعادة كتابته بلغة Rust باستخدام الذكاء الاصطناعي

وصف الباحثون حصانا طروادة مصرفيا جديدا باسم VENON يستهدف مستخدمي Windows ويحاكي سلوك البرامج الضارة المعروفة في أمريكا اللاتينية. والفرق الرئيسي هو أن البرنامج الضار مكتوب بلغة Rust، وتشير بنيته وفقا لتقييم المحللين إلى استخدام فعال لذكاء اصطناعي توليدي في التطوير.

لماذا هذا غير عادي

بالنسبة لقطاع أحصنة طروادة المصرفية في أمريكا اللاتينية، هذا النهج غير نمطي. لقد هيمنت المنطقة لفترة طويلة على عائلات مثل Grandoreiro و Mekotio و Coyote، عادة ما تكون مكتوبة بلغة Delphi. ومع ذلك، يكرر VENON منطقهم الأساسي: يراقب النوافذ النشطة ويحل محل واجهة المستخدم لصفحات البنك والاعتراض بالاختصارات في Windows.

في الواقع، لم يخترع المهاجمون آلية هجوم جديدة، بل أخذوا نموذجا مألوفا ونقلوه إلى مجموعة تكنولوجية مختلفة. إن اختيار Rust بالذات هو ما يجعل هذه القصة جديرة بالملاحظة. تتطلب هذه اللغة كفاءة تقنية أعلى من منشئ البرامج الضارة النموذجي أو التجميع السريع باستخدام الأدوات المألوفة.

يعتقد الباحثون أن مؤلف البرنامج الضار كان يفهم كيف تعمل الهجمات المصرفية المحلية، لكنه اعتمد على الذكاء الاصطناعي التوليدي لإعادة إنشاء وتوسيع هذه المجموعة من الوظائف في Rust. هذا لم يعد ببساطة نسخ الكود من شخص آخر، بل طريقة جديدة لتجميع أدوات برامج ضارة ناضجة بسرعة من أنماط مألوفة.

كيفية عمل VENON

مخطط العدوى الخاص بـ VENON متعدد المراحل. وفقا للباحثين، يتم تشغيل البرنامج الضار عبر تحميل DLL جانبي، ويمكن تسليمه للضحايا من خلال أرشيف ZIP وسكريبت PowerShell. يتم أيضا ذكر تقنية ClickFix، حيث يتم إقناع المستخدمين بشكل اجتماعي بإطلاق سلسلة برامج ضارة بأنفسهم. بعد بدء DLL، فإنه لا يستعجل بالظهور: أولا يفحص البيئة ويحاول التحقق من أنه لم يسقط في صندوق الرمل أو تحت مراقبة أدوات الحماية.

• يفحص ما إذا كانت العينة تعمل في بيئة افتراضية
• يستخدم استدعاءات النظام غير المباشرة لإخفاء النشاط
• يحاول تجاوز ETW و AMSI قبل تنفيذ الحمولة الإضافية
• يحمل التكوين من Google Cloud Storage وينشئ مهمة في جدولة المهام
• يفتح اتصال WebSocket مع خادم الأوامر

بعد ذلك، ينتقل البرنامج الضار إلى النشاط المستهدف. يتم حقن برنامجي نصيين Visual Basic من DLL لاعتراض اختصارات نظام Windows؛ يشير التقرير إلى أنهما يستهدفان تطبيق Itaú المصرفي. وفي الوقت نفسه، يراقب VENON عناوين نوافذ المتصفح والمجالات النشطة.

إذا فتح المستخدم أحد الخدمات المهمة، يضع حصان طروادة طبقة مزيفة على الشاشة ويعترض بيانات المصادقة. تتضمن قائمة الأهداف 33 منظمة مالية ومنصات تشفير. التفاصيل الأخرى هي آلية استرجاع مدمجة.

بعد استبدال الاختصارات، يمكن للبرنامج الضار استعادتها إلى حالتها الأصلية، يحتمل أن يكون ذلك لإخفاء آثار الهجوم. هذا لا يجعل VENON اختراقا تكنولوجيا، لكنه يوضح أن المؤلف فكر ليس فقط في سرقة البيانات ولكن أيضا في إخفاء الآثار بعد العملية. تجعل هذه المجموعة من التقنيات الحملة أكثر قدرة على الصمود: قد لا تفهم الضحية على الفور أن دخولها إلى البنك أو خدمة التشفير حدثت من خلال واجهة مزيفة.

لماذا يشتبه بالذكاء الاصطناعي التوليدي

لم تنشأ فرضية الذكاء الاصطناعي التوليدي من علامة واضحة واحدة، بل من الهيكل العام للمشروع. يعتقد محللو ZenoX أن المطور كان يحاكي بوضوح أحصنة طروادة المصرفية الإقليمية المعروفة، لكنه استخدم الذكاء الاصطناعي لنقل هذا المنطق إلى Rust وتوسيع الوظائف. بمعنى آخر، لم يكن المؤلف مبتدئا تماما، لكن جزء من العمل الهندسي كان يمكن أن يتم تسريعه من خلال نماذج اللغات الكبيرة وما يسمى vibe coding.

لم يكن من الممكن ربط VENON بمجموعة سيبرانية معينة حتى الآن. في عينة مبكرة بتاريخ يناير 2026، وجد الباحثون قطعة أثرية باسم المستخدم byst4، لكن هذا غير كافي للإسناد الموثوق. بالنسبة لسوق الأمن السيبراني، استنتاج مختلف أكثر أهمية: نماذج توليدية تساعد بالفعل ليس فقط على كتابة الأدوات والنماذج الأولية التي لا ضرر منها، بل أيضا على تعبئة المنطق الضار في مجموعة أكثر حداثة وأقل دراية بالمحللين.

ماذا يعني هذا

تظهر قصة VENON أن الذكاء الاصطناعي يخفض حاجز الدخول حتى بالنسبة للمشاريع البرامج الضارة المعقدة، لكنه لا يلغي الحاجة إلى معرفة بتكتيكات الهجوم. بالنسبة للمدافعين، فهذه إشارة لتقوية التحليل السلوكي والنظر بعناية أكثر إلى مكونات Rust والأخذ في الاعتبار أن الموجة التالية من أحصنة طروادة المصرفية قد تتم تجميعها بشكل أسرع من تحديث التوقيعات الكلاسيكية.