Банков зловреден софтуер VENON
Изследователи по киберсигурност разкриха нова кампания за банков зловреден софтуер, насочена към потребители в Бразилия. Зловреден софтуер, наречен VENON, бележи забележителна промяна в регионалната екосистема на киберпрестъпността, тъй като е написан на езика за програмиране Rust, а не на традиционно използвания Delphi.
Тази промяна в подхода за разработка представлява значителна еволюция в латиноамериканския банков зловреден софтуер, който исторически е разчитал на рамки, базирани на Delphi. VENON е насочен специално към Windows среди и беше открит за първи път през февруари 2026 г.
Съдържание
Поведенчески паралели с установени банкови троянци
Въпреки съвременния си език за имплементация, VENON демонстрира оперативно поведение, съвместимо с добре познати латиноамерикански банкови троянци като Grandoreiro, Mekotio и Coyote.
Зловредният софтуер интегрира няколко възможности, обикновено свързани с тези заплахи:
- Логика за банково наслагване, предназначена да се представя за легитимни финансови интерфейси
- Активно наблюдение на прозорци за откриване на целеви банкови приложения или уебсайтове
- Механизми за отвличане на преки пътища (LNK) за пренасочване на жертвите към злонамерена инфраструктура
Тези сходства показват, че VENON е проектиран с подробни познания за оперативните модели, използвани от съществуващите кампании за банков зловреден софтуер в региона.
Улики за развитие и възможно използване на генеративен изкуствен интелект
Кампанията все още не е официално приписана на известен злонамерен участник или киберпрестъпна група. Въпреки това, криминалистичен анализ на по-ранна компилация от януари 2026 г. разкри следи от средата на разработчика, вградени в двоичния файл. Пътищата до файловете многократно препращат към потребителски профил на Windows с етикет „byst4“, като например C:\Users\byst4..., което показва потенциална информация за настройката на разработката на злонамерения участник.
Анализът на кода допълнително показва структура, съответстваща на разработчици, които вече са запознати с техниките за злонамерен софтуер в банковата система в Латинска Америка. В същото време, кодовата база предполага възможното използване на инструменти за генеративен изкуствен интелект за рефакториране или разширяване на вече установени възможности в Rust. Внедряването на такава функционалност в Rust изисква значителни технически познания, което подчертава сложността на проекта.
Многоетапна верига на заразяване и тактики за избягване
VENON се доставя чрез внимателно структурирана верига за заразяване, която в крайна сметка изпълнява злонамерена динамична библиотека с връзки чрез странично зареждане на DLL файлове. Смята се, че кампанията разчита на стратегии за социално инженерство, подобни на техниката ClickFix, за да убеди жертвите да изтеглят ZIP архив, съдържащ полезния товар.
Изпълнението започва със PowerShell скрипт, който извлича и стартира злонамерените компоненти. Преди да започне каквато и да е злонамерена дейност, DLL изпълнява обширен набор от защитни мерки за избягване:
- Проверки срещу пясъчник
- Косвени системни извиквания за заобикаляне на мониторинга на сигурността
- Техники за заобикаляне на ETW (Проследяване на събития за Windows)
- Механизми за заобикаляне на AMSI (интерфейс за сканиране на антималуер)
- Допълнителни антианалитични процедури, формиращи общо девет стратегии за избягване
След като премине успешно тези проверки, зловредният софтуер извлича конфигурационни данни от облачен ресурс, съхраняван в инфраструктурата на Google Cloud. След това инсталира планирана задача за съхранение и установява WebSocket връзка със своя команден сървър.
Целенасочено отвличане на бързи клавиши срещу банков софтуер Itaú
Зловредният DLL файл съдържа и два вградени скрипта, написани на Visual Basic Script. Тези скриптове реализират целенасочена операция за отвличане на преки пътища, насочена специално към настолното приложение на Itaú Unibanco.
Механизмът замества легитимните системни преки пътища с манипулирани версии, които пренасочват жертвите към контролирани от хакера уеб страници, предназначени да събират чувствителни финансови данни. Този целенасочен подход показва силен фокус върху банкови платформи с висока стойност в Бразилия.
Интересното е, че зловредният софтуер включва възможност за деинсталиране, която може да възстанови оригиналните преки пътища. Тази функционалност предполага дистанционен контрол от оператора и позволява на атакуващите да премахнат доказателства за компрометиране, след като операцията е завършена.
Широкообхватна стратегия за финансово таргетиране и кражба на идентификационни данни
VENON е проектиран да наблюдава както заглавията на активните прозорци, така и домейните на браузъра, което му позволява да открива кога потребителите имат достъп до финансови услуги. Зловредният софтуер е конфигуриран да разпознава активност, включваща 33 финансови институции и платформи за цифрови активи.
След като бъде засечено целево приложение или уебсайт, зловредният софтуер разполага с измамнически наслагващи се екрани, които имитират легитимни интерфейси за вход. Жертвите, взаимодействащи с тези наслагвания, несъзнателно предоставят своите идентификационни данни директно на нападателите, което позволява поглъщане на акаунти и финансова кражба.
