Cotització de descompte per a múltiples llicències
Base de dades d'amenaces Programari maliciós mòbil Programari maliciós bancari VENON

Programari maliciós bancari VENON

El Mezo el Programari maliciós mòbil, Troià bancari
Traduir a:

Investigadors de ciberseguretat han descobert una nova campanya de programari maliciós bancari dirigida a usuaris del Brasil. El programari maliciós, anomenat VENON, marca un canvi notable en l'ecosistema regional de ciberdelinqüència perquè està escrit en el llenguatge de programació Rust en lloc del tradicional Delphi.

Aquest canvi en l'enfocament del desenvolupament representa una evolució significativa en el programari maliciós bancari llatinoamericà, que històricament s'ha basat en marcs de treball basats en Delphi. VENON té com a objectiu específic els entorns Windows i es va descobrir inicialment el febrer del 2026.

Paral·lelismes de comportament amb troians bancaris establerts

Malgrat el seu llenguatge d'implementació modern, VENON presenta comportaments operatius consistents amb coneguts troians bancaris llatinoamericans com ara Grandoreiro, Mekotio i Coyote.

El programari maliciós integra diverses capacitats que normalment s'associen amb aquestes amenaces:

  • Lògica de superposició bancària dissenyada per suplantar interfícies financeres legítimes
  • Monitorització activa de finestres per detectar aplicacions o llocs web bancaris específics
  • Mecanismes de segrest de dreceres (LNK) per redirigir les víctimes cap a una infraestructura maliciosa

Aquestes similituds suggereixen que VENON va ser dissenyat amb un coneixement detallat dels patrons operatius utilitzats per les campanyes de programari maliciós bancari existents a la regió.

Pistes de desenvolupament i possible ús de la IA generativa

La campanya encara no s'ha atribuït formalment a cap actor d'amenaces ni grup de ciberdelinqüents conegut. Tanmateix, l'anàlisi forense d'una compilació anterior del gener de 2026 va revelar rastres de l'entorn del desenvolupador incrustat al binari. Les rutes de fitxer fan referència repetidament a un perfil d'usuari de Windows etiquetat com a "byst4", com ara C:\Users\byst4..., cosa que indica una possible informació sobre la configuració de desenvolupament de l'actor d'amenaces.

L'anàlisi del codi indica, a més, una estructura coherent amb els desenvolupadors que ja estan familiaritzats amb les tècniques de programari maliciós bancari llatinoamericà. Alhora, la base de codi suggereix el possible ús d'eines d'IA generatives per refactoritzar o ampliar capacitats prèviament establertes a Rust. La implementació d'aquesta funcionalitat a Rust requereix una experiència tècnica substancial, cosa que destaca la sofisticació que hi ha darrere del projecte.

Cadena d’infecció multietapa i tàctiques d’evasió

VENON es distribueix a través d'una cadena d'infecció acuradament estructurada que finalment executa una biblioteca d'enllaços dinàmics maliciosa mitjançant la càrrega lateral de DLL. Es creu que la campanya es basa en estratègies d'enginyeria social similars a la tècnica ClickFix per convèncer les víctimes que descarreguin un arxiu ZIP que conté la càrrega útil.

L'execució comença amb un script de PowerShell que recupera i inicia els components maliciosos. Abans d'iniciar qualsevol activitat maliciosa, la DLL realitza un extens conjunt de mesures d'evasió defensiva:

  • Comprovacions anti-sandbox
  • Crides indirectes al sistema per evitar la supervisió de seguretat
  • Tècniques d'evitació d'ETW (Event Tracing for Windows)
  • Mecanismes d'evitació d'AMSI (Antimalware Scan Interface)
  • Rutines anti-anàlisi addicionals que formen un total de nou estratègies d'evasió

Després de superar aquestes comprovacions, el programari maliciós recupera dades de configuració d'un recurs allotjat al núvol emmagatzemat a la infraestructura de Google Cloud. A continuació, instal·la una tasca programada per a la persistència i estableix una connexió WebSocket amb el seu servidor de comandament i control.

Segrest de dreceres dirigides contra el programari bancari Itaú

La DLL maliciosa també conté dos scripts incrustats escrits en Visual Basic Script. Aquests scripts implementen una operació de segrest de dreceres dirigida específicament a l'aplicació d'escriptori d'Itaú Unibanco.

El mecanisme substitueix les dreceres legítimes del sistema per versions manipulades que redirigeixen les víctimes a pàgines web controlades per atacants dissenyades per capturar credencials financeres sensibles. Aquest enfocament específic indica un fort enfocament en les plataformes bancàries d'alt valor dins del Brasil.

Curiosament, el programari maliciós inclou una funció de desinstal·lació que pot restaurar les dreceres originals. Aquesta funcionalitat implica el control remot de l'operador i permet als atacants eliminar les proves de compromís un cop finalitzada una operació.

Àmplia estratègia de segmentació financera i robatori de credencials

VENON està dissenyat per monitoritzar tant els títols de les finestres actives com els dominis del navegador, cosa que li permet detectar quan els usuaris accedeixen a serveis financers. El programari maliciós està configurat per reconèixer l'activitat que implica 33 institucions financeres i plataformes d'actius digitals.

Un cop detectada una aplicació o un lloc web específic, el programari maliciós desplega pantalles superposades fraudulentes que imiten interfícies d'inici de sessió legítimes. Les víctimes que interactuen amb aquestes superposicions envien les seves credencials directament als atacants sense saber-ho, cosa que permet la presa de control de comptes i el robatori financer.

Tendència

Més vist

Carregant...