Bankovní malware VENON
Výzkumníci v oblasti kybernetické bezpečnosti odhalili novou kampaň bankovního malwaru zaměřenou na uživatele v Brazílii. Malware s názvem VENON představuje významný posun v regionálním ekosystému kybernetické kriminality, protože je napsán v programovacím jazyce Rust namísto tradičně používaného Delphi.
Tato změna v přístupu k vývoji představuje významný vývoj bankovního malwaru v Latinské Americe, který se historicky spoléhal na frameworky založené na Delphi. VENON se konkrétně zaměřuje na prostředí Windows a byl poprvé objeven v únoru 2026.
Obsah
Behaviorální paralely se zavedenými bankovními trojskými koněmi
Navzdory modernímu implementačnímu jazyku vykazuje VENON provozní chování shodné se známými latinskoamerickými bankovními trojskými koněmi, jako jsou Grandoreiro, Mekotio a Coyote.
Malware integruje několik funkcí, které jsou s těmito hrozbami obvykle spojeny:
- Logika bankovního překrytí navržená tak, aby se vydávala za legitimní finanční rozhraní.
- Aktivní monitorování oken pro detekci cílených bankovních aplikací nebo webových stránek
- Mechanismy únosu zkratek (LNK) pro přesměrování obětí na škodlivou infrastrukturu
Tyto podobnosti naznačují, že VENON byl navržen s podrobnou znalostí operačních vzorců používaných stávajícími malwarovými kampaněmi bankovnictví v regionu.
Vývojové indicie a možné využití generativní umělé inteligence
Kampaň dosud nebyla formálně připsána známému aktérovi hrozby ani skupině kyberzločinců. Forenzní analýza dřívějšího sestavení z ledna 2026 však odhalila stopy vývojářského prostředí vložené do binárního souboru. Cesty k souborům opakovaně odkazují na uživatelský profil Windows s označením „byst4“, například C:\Users\byst4..., což naznačuje možný vhled do vývojového nastavení aktéra hrozby.
Analýza kódu dále naznačuje strukturu, která je konzistentní s vývojáři, kteří jsou již obeznámeni s technikami malwaru pro bankovnictví v Latinské Americe. Zároveň kódová základna naznačuje možné využití generativních nástrojů umělé inteligence k refaktorování nebo rozšíření dříve zavedených funkcí do Rustu. Implementace takové funkcionality v Rustu vyžaduje značné technické znalosti, což zdůrazňuje sofistikovanost projektu.
Vícestupňový infekční řetězec a taktiky úniku
VENON je šířen prostřednictvím pečlivě strukturovaného infekčního řetězce, který nakonec spouští škodlivou dynamickou knihovnu pomocí bočního načítání DLL. Předpokládá se, že kampaň se spoléhá na strategie sociálního inženýrství podobné technice ClickFix, aby přesvědčila oběti ke stažení ZIP archivu obsahujícího datový obsah.
Spuštění začíná skriptem PowerShellu, který načte a spustí škodlivé komponenty. Před zahájením jakékoli škodlivé aktivity provede knihovna DLL rozsáhlou sadu obranných opatření proti vyhýbání se útokům:
- Kontroly proti sandboxu
- Nepřímá systémová volání pro obcházení monitorování zabezpečení
- Techniky obcházení ETW (trasování událostí pro Windows)
- Mechanismy obcházení AMSI (Antimalware Scan Interface)
- Další antianalytické rutiny tvořící celkem devět strategií úniku
Po absolvování těchto kontrol malware načte konfigurační data z cloudového zdroje uloženého v infrastruktuře Google Cloud. Poté nainstaluje naplánovanou úlohu pro trvalé uložení a naváže spojení WebSocket se svým velitelským a řídicím serverem.
Cílené zneužití bankovního softwaru Itaú pomocí zkratek
Škodlivá knihovna DLL také obsahuje dva vložené skripty napsané v jazyce Visual Basic Script. Tyto skripty implementují cílenou operaci únosu zástupců zaměřenou konkrétně na desktopovou aplikaci Itaú Unibanco.
Mechanismus nahrazuje legitimní systémové zkratky zmanipulovanými verzemi, které přesměrovávají oběti na webové stránky ovládané útočníkem, jejichž cílem je získat citlivé finanční údaje. Tento cílený přístup naznačuje silné zaměření na bankovní platformy s vysokou hodnotou v Brazílii.
Je zajímavé, že malware obsahuje funkci odinstalace, která dokáže obnovit původní zkratky. Tato funkce implikuje vzdálené ovládání operátorem a umožňuje útočníkům odstranit důkazy o kompromitaci po dokončení operace.
Široké finanční cílení a strategie krádeže přihlašovacích údajů
Malware VENON je navržen tak, aby monitoroval jak aktivní názvy oken, tak domény prohlížeče, což mu umožňuje detekovat, kdy uživatelé přistupují k finančním službám. Malware je nakonfigurován tak, aby rozpoznával aktivitu zahrnující 33 finančních institucí a platforem digitálních aktiv.
Jakmile je detekována cílová aplikace nebo webová stránka, malware nasadí podvodné překryvné obrazovky, které napodobují legitimní přihlašovací rozhraní. Oběti, které interagují s těmito překryvnými obrazovkami, nevědomky odesílají své přihlašovací údaje přímo útočníkům, což umožňuje převzetí kontroly nad účtem a finanční krádež.
