حصان طروادة VENON للهجمات المصرفية في أمريكا اللاتينية تمت إعادة كتابته بلغة Rust باستخدام الذكاء الاصطناعي
اكتشف الباحثون حصان طروادة مصرفي VENON الذي يستهدف مستخدمي Windows وينسخ ميكانيكا البرامج الضارة المعروفة في أمريكا اللاتينية. تتمثل ميزته الرئيسية في التنفيذ ب
Исследователи описали новый банковский троянец VENON, который атакует Windows-пользователей и копирует поведение известных латиноамериканских вредоносов. Главное отличие — вредонос написан на Rust, а его структура, по оценке аналитиков, указывает на активное использование генеративного ИИ при разработке.
Почему это необычно Для латиноамериканского сегмента банковских троянцев такой подход нетипичен.
В регионе давно доминируют семейства вроде Grandoreiro, Mekotio и Coyote, обычно написанные на Delphi. VENON при этом повторяет их ключевую логику: следит за активными окнами, подменяет пользовательский интерфейс банковских страниц и перехватывает ярлыки Windows. По сути, злоумышленники не изобрели новую механику атаки, а взяли знакомую модель и перенесли её на другой технологический стек.
Именно выбор Rust делает историю заметной. Этот язык требует более высокой технической подготовки, чем типичный конструктор вредоносов или быстрая сборка на привычных инструментах. Исследователи считают, что автор вредоноса понимал, как устроены местные банковские атаки, но при этом опирался на генеративный ИИ, чтобы воссоздать и расширить этот набор функций на Rust.
Это уже не просто копирование чужого кода, а новый способ быстро собирать зрелые вредоносные инструменты из знакомых паттернов.
Как работает VENON Схема заражения у VENON многоступенчатая.
По данным исследователей, вредонос запускается через side-loading DLL, а доставляться к жертве может через архив ZIP и PowerShell-сценарий. Отдельно упоминается техника ClickFix, когда пользователя с помощью социальной инженерии подталкивают самому запустить вредоносную цепочку. После старта DLL не спешит проявлять себя: сначала она проверяет окружение и пытается убедиться, что не попала в песочницу или под наблюдение защитных инструментов.
- Проверяет, не запущен ли образец в виртуальной среде Использует косвенные системные вызовы для сокрытия активности Пытается обойти ETW и AMSI перед запуском полезной нагрузки Загружает конфигурацию из Google Cloud Storage и создает задачу в планировщике Открывает WebSocket-соединение с командным сервером Дальше вредонос переходит к целевой работе. Из DLL выгружаются два Visual Basic-скрипта для перехвата системных ярлыков Windows; в исследовании говорится, что они нацелены на банковское приложение Itaú. Одновременно VENON отслеживает заголовки окон браузера и активные домены. Если пользователь открывает один из интересующих сервисов, троянец накладывает поверх экрана поддельный слой и перехватывает учетные данные. Всего в списке целей — 33 финансовые организации и криптоплатформы. Еще одна деталь — встроенный механизм отката. После подмены ярлыков вредонос умеет возвращать их к исходному состоянию, вероятно, чтобы скрыть следы атаки. Это не делает VENON технологическим прорывом, но показывает, что автор думал не только о краже данных, но и о маскировке после операции. Такой набор приемов делает кампанию более устойчивой: жертва может не сразу понять, что ее вход в банк или криптосервис происходил через подставной интерфейс.
Почему здесь видят ИИ
Версия про генеративный ИИ появилась не из-за одного громкого маркера, а из-за общей структуры проекта. Аналитики ZenoX считают, что разработчик явно ориентировался на уже известные банковские трояны региона, но использовал ИИ для переноса этой логики на Rust и для расширения функциональности. Иначе говоря, у автора был не нулевой уровень экспертизы, однако часть инженерной работы могла быть ускорена через LLM и так называемый vibe coding.
Привязать VENON к конкретной кибергруппе пока не удалось. В раннем образце, датированном январем 2026 года, исследователи нашли артефакт с именем пользователя byst4, но этого недостаточно для уверенной атрибуции. Для рынка ИБ здесь важнее другой вывод: генеративные модели уже помогают не только писать безобидные утилиты и прототипы, но и упаковывать вредоносную логику в более современный и менее привычный для аналитиков стек.
Что это значит
История VENON показывает, что ИИ снижает порог входа даже для сложных вредоносных проектов, но не отменяет необходимости в знании тактики атак. Для защитников это сигнал усиливать поведенческий анализ, внимательнее смотреть на Rust-компоненты и учитывать, что следующая волна банковских троянцев может собираться быстрее, чем обновляются классические сигнатуры.