VENON Banking Malware
Cybersikkerhedsforskere har afdækket en ny kampagne for bankmalware, der er rettet mod brugere i Brasilien. Malwaren, der har fået navnet VENON, markerer et bemærkelsesværdigt skift i det regionale økosystem for cyberkriminalitet, fordi den er skrevet i programmeringssproget Rust i stedet for det traditionelt anvendte Delphi.
Denne ændring i udviklingstilgangen repræsenterer en betydelig udvikling inden for latinamerikansk bankmalware, som historisk set har været afhængig af Delphi-baserede frameworks. VENON er specifikt rettet mod Windows-miljøer og blev oprindeligt opdaget i februar 2026.
Indholdsfortegnelse
Adfærdsmæssige paralleller med etablerede banktrojanere
Trods sit moderne implementeringssprog udviser VENON operationel adfærd, der er i overensstemmelse med velkendte latinamerikanske banktrojanere som Grandoreiro, Mekotio og Coyote.
Malwaren integrerer adskillige funktioner, der typisk er forbundet med disse trusler:
- Bankoverlay-logik designet til at efterligne legitime finansielle grænseflader
- Aktiv vinduesovervågning til at detektere målrettede bankapplikationer eller websteder
- Genvejskapringsmekanismer (LNK) til at omdirigere ofre mod ondsindet infrastruktur
Disse ligheder tyder på, at VENON blev udviklet med detaljeret kendskab til de operationelle mønstre, der anvendes af eksisterende bankmalwarekampagner i regionen.
Udviklingsspor og mulig brug af generativ AI
Kampagnen er endnu ikke formelt blevet tilskrevet en kendt trusselsaktør eller cyberkriminel gruppe. Retsmedicinsk analyse af en tidligere build fra januar 2026 afslørede dog spor af udviklerens miljø indlejret i den binære fil. Filstier refererer gentagne gange til en Windows-brugerprofil mærket 'byst4', såsom C:\Users\byst4..., hvilket indikerer potentiel indsigt i trusselsaktørens udviklingsopsætning.
Kodeanalyse indikerer yderligere en struktur, der er i overensstemmelse med udviklere, der allerede er bekendt med latinamerikanske teknikker til bankmalware. Samtidig antyder kodebasen den mulige brug af generative AI-værktøjer til at refaktorere eller udvide tidligere etablerede funktioner i Rust. Implementering af sådan funktionalitet i Rust kræver betydelig teknisk ekspertise, hvilket fremhæver den sofistikerede karakter bag projektet.
Flertrinsinfektionskæde og undvigelsestaktikker
VENON leveres gennem en omhyggeligt struktureret infektionskæde, der i sidste ende udfører et ondsindet dynamisk linkbibliotek via DLL-sideloading. Kampagnen menes at være afhængig af social engineering-strategier svarende til ClickFix-teknikken for at overbevise ofrene om at downloade et ZIP-arkiv, der indeholder nyttelasten.
Udførelsen starter med et PowerShell-script, der henter og starter de skadelige komponenter. Før den starter nogen form for skadelig aktivitet, udfører DLL'en et omfattende sæt defensive undvigelsesforanstaltninger:
- Anti-sandkasse-tjek
- Indirekte systemkald for at omgå sikkerhedsovervågning
- ETW (Event Tracing for Windows) bypass-teknikker
- AMSI (Antimalware Scan Interface) omgåelsesmekanismer
- Yderligere antianalyserutiner, der danner i alt ni undvigelsesstrategier
Efter at have bestået disse kontroller, henter malwaren konfigurationsdata fra en cloud-hostet ressource, der er gemt på Google Cloud-infrastrukturen. Derefter installerer den en planlagt opgave for at bevare den og etablerer en WebSocket-forbindelse med sin kommando- og kontrolserver.
Målrettet kapring af genveje mod itaú-banksoftware
Den skadelige DLL indeholder også to indlejrede scripts skrevet i Visual Basic Script. Disse scripts implementerer en målrettet genvejskapningsoperation specifikt rettet mod desktopapplikationen i Itaú Unibanco.
Mekanismen erstatter legitime systemgenveje med manipulerede versioner, der omdirigerer ofre til angriberstyrede websider, der er designet til at indsamle følsomme økonomiske oplysninger. Denne målrettede tilgang indikerer et stærkt fokus på værdifulde bankplatforme i Brasilien.
Interessant nok inkluderer malwaren en afinstallationsfunktion, der kan gendanne de oprindelige genveje. Denne funktionalitet indebærer fjernbetjening og gør det muligt for angribere at fjerne beviser for kompromittering, når en handling er fuldført.
Bred finansiel målretning og strategi for tyveri af legitimationsoplysninger
VENON er konstrueret til at overvåge både aktive vinduestitler og browserdomæner, hvilket gør det muligt at registrere, når brugere tilgår finansielle tjenester. Malwaren er konfigureret til at genkende aktivitet, der involverer 33 finansielle institutioner og digitale aktivplatforme.
Når en målrettet applikation eller et målrettet websted er registreret, implementerer malwaren falske overlay-skærme, der efterligner legitime login-grænseflader. Ofre, der interagerer med disse overlays, sender ubevidst deres loginoplysninger direkte til angriberne, hvilket muliggør kontoovertagelse og økonomisk tyveri.
