VENON panganduspahavara

Küberjulgeoleku uurijad on paljastanud uue panganduspahavara kampaania, mis on suunatud Brasiilia kasutajatele. Pahavara nimega VENON tähistab märkimisväärset muutust piirkondlikus küberkuritegevuse ökosüsteemis, kuna see on kirjutatud Rust programmeerimiskeeles, mitte traditsiooniliselt kasutatavas Delphis.

See arenduslähenemise muutus kujutab endast olulist arengut Ladina-Ameerika panganduspahavara valdkonnas, mis on ajalooliselt tuginenud Delphi-põhistele raamistikele. VENON on suunatud spetsiaalselt Windowsi keskkondadele ja see avastati esmakordselt 2026. aasta veebruaris.

Käitumuslikud paralleelid väljakujunenud pangandustroojalastega

Vaatamata kaasaegsele rakenduskeelele on VENONi operatiivsed käitumisviisid sarnased tuntud Ladina-Ameerika pangandustroojalastega nagu Grandoreiro, Mekotio ja Coyote.

Pahavara integreerib mitmeid funktsioone, mis on tavaliselt seotud nende ohtudega:

• Panganduse ülekatte loogika, mis on loodud seaduslike finantsliideste jäljendamiseks
• Aktiivne akende jälgimine sihitud pangandusrakenduste või veebisaitide tuvastamiseks
• Otsetee (LNK) kaaperdamismehhanismid ohvrite suunamiseks pahatahtliku infrastruktuuri poole

Need sarnasused viitavad sellele, et VENON loodi piirkonna olemasolevate panganduspahavara kampaaniate operatsioonimustrite üksikasjalike teadmistega.

Arendusvihjed ja generatiivse tehisintellekti võimalik kasutamine

Kampaaniat pole veel ametlikult seostatud teadaoleva ohutegelase või küberkurjategijate rühmitusega. Varasema, 2026. aasta jaanuari järgu kohtuekspertiisi analüüs näitas aga binaarfailis jälgi arendaja keskkonnast. Failiteed viitavad korduvalt Windowsi kasutajaprofiilile sildiga „byst4”, näiteks C:\Users\byst4..., mis viitab võimalikule ülevaatele ohutegelase arendusseadistusest.

Koodianalüüs näitab lisaks struktuuri, mis on kooskõlas arendajatega, kes on juba tuttavad Ladina-Ameerika panganduspahavara tehnikatega. Samal ajal viitab koodibaas generatiivsete tehisintellekti tööriistade võimalikule kasutamisele, et varem loodud võimeid Rustis ümber kujundada või laiendada. Sellise funktsionaalsuse rakendamine Rustis nõuab märkimisväärset tehnilist oskusteavet, mis rõhutab projekti keerukust.

Mitmeastmeline nakkusahel ja vältimistaktika

VENON levib hoolikalt struktureeritud nakatamisahela kaudu, mis lõpuks käivitab pahatahtliku dünaamilise lingiteegi DLL-i külglaadimise kaudu. Arvatakse, et kampaania tugineb sotsiaalmanipulatsiooni strateegiatele, mis sarnanevad ClickFixi tehnikaga, et veenda ohvreid alla laadima kasulikku infot sisaldavat ZIP-arhiivi.

Käivitamine algab PowerShelli skriptiga, mis hangib ja käivitab pahatahtlikud komponendid. Enne pahatahtliku tegevuse alustamist rakendab DLL ulatuslikku kaitsemeetmete komplekti:

• Liivakastivastased kontrollid
• Kaudsed süsteemikõned turvamonitooringu möödahiilimiseks
• ETW (Windowsi sündmuste jälgimise) möödaviigutehnikad
• AMSI (pahavaratõrje skannimisliidese) möödaviigumehhanismid
• Täiendavad analüüsivastased rutiinid, mis moodustavad kokku üheksa vältimisstrateegiat

Pärast nende kontrollide läbimist hangib pahavara konfiguratsiooniandmed Google Cloudi infrastruktuuris talletatud pilves hostitud ressursist. Seejärel installib see ajastatud püsiülesande ja loob WebSocket-ühenduse oma käskude ja juhtimisserveriga.

Sihitud otseteede kaaperdamine Itaú pangandustarkvara vastu

Pahatahtlik DLL sisaldab ka kahte Visual Basic Scriptis kirjutatud manustatud skripti. Need skriptid rakendavad sihitud otseteede kaaperdamise operatsiooni, mis on suunatud spetsiaalselt Itaú Unibanco töölauarakendusele.

See mehhanism asendab legitiimsed süsteemi otseteed manipuleeritud versioonidega, mis suunavad ohvrid ründaja kontrollitavatele veebilehtedele, mis on loodud tundlike finantsandmete jäädvustamiseks. See sihipärane lähenemisviis viitab tugevale keskendumisele Brasiilia kõrge väärtusega pangandusplatvormidele.

Huvitaval kombel sisaldab pahavara desinstallimisvõimalust, mis suudab taastada algsed otseteed. See funktsioon eeldab operaatori kaugjuhtimist ja võimaldab ründajatel pärast toimingu lõpetamist eemaldada tõendeid ohtu sattumise kohta.

Laiaulatuslik finantssihtimine ja volituste varguse strateegia

VENON on loodud jälgima nii aktiivsete akende pealkirju kui ka brauseri domeene, võimaldades tal tuvastada, millal kasutajad finantsteenustele ligi pääsevad. Pahavara on konfigureeritud ära tundma tegevust, mis hõlmab 33 finantsasutust ja digitaalsete varade platvormi.

Kui sihitud rakendus või veebisait on tuvastatud, kuvab pahavara petturlikke ekraanipilte, mis matkivad seaduslikke sisselogimisliideseid. Nende ekraanipiltidega suhtlevad ohvrid esitavad teadmatult oma identiteedi otse ründajatele, võimaldades kontode ülevõtmist ja rahalisi vargusi.