VENON-pankkihaittaohjelma

Kyberturvallisuustutkijat ovat paljastaneet uuden pankkihaittaohjelmakampanjan, joka kohdistuu Brasilian käyttäjiin. VENON-niminen haittaohjelma merkitsee merkittävää muutosta alueellisessa kyberrikollisuuden ekosysteemissä, koska se on kirjoitettu Rust-ohjelmointikielellä perinteisen Delphin sijaan.

Tämä kehitystavan muutos edustaa merkittävää kehitystä Latinalaisen Amerikan pankkihaittaohjelmissa, jotka ovat perinteisesti luottaneet Delphi-pohjaisiin kehyksiin. VENON kohdistuu erityisesti Windows-ympäristöihin, ja se löydettiin alun perin helmikuussa 2026.

Käyttäytymisen yhtäläisyydet vakiintuneiden pankkitroijalaisten kanssa

Nykyaikaisesta toteutuskielestään huolimatta VENON toimii samalla tavalla kuin tunnetut latinalaisamerikkalaiset pankkitroijalaiset, kuten Grandoreiro, Mekotio ja Coyote.

Haittaohjelma yhdistää useita näihin uhkiin tyypillisesti liittyviä ominaisuuksia:

• Pankkitoiminnan päällekkäislogiikka, joka on suunniteltu jäljittelemään laillisia taloudellisia rajapintoja
• Aktiivinen ikkunavalvonta kohdennettujen pankkisovellusten tai verkkosivustojen havaitsemiseksi
• Oikotien (LNK) kaappausmekanismit uhrien ohjaamiseksi haitalliseen infrastruktuuriin

Nämä yhtäläisyydet viittaavat siihen, että VENON suunniteltiin tietäen yksityiskohtaisesti alueen olemassa olevien pankkihaittaohjelmakampanjoiden toimintamalleista.

Kehitysvihjeitä ja generatiivisen tekoälyn mahdollinen käyttö

Kampanjaa ei ole vielä virallisesti yhdistetty tunnettuun uhkatoimijaan tai kyberrikollisryhmään. Tammikuussa 2026 tehdyn aiemman koontiversion rikostekninen analyysi kuitenkin paljasti jälkiä kehittäjän ympäristöstä binääritiedostossa. Tiedostopolut viittaavat toistuvasti Windows-käyttäjäprofiiliin, jonka nimi on 'byst4', kuten C:\Users\byst4..., mikä viittaa mahdolliseen tietoon uhkatoimijan kehitysasetuksista.

Koodianalyysi osoittaa edelleen rakenteen olevan yhdenmukainen kehittäjien kanssa, jotka ovat jo perehtyneet Latinalaisen Amerikan pankkialan haittaohjelmatekniikoihin. Samalla koodikanta ehdottaa generatiivisten tekoälytyökalujen mahdollista käyttöä aiemmin vakiintuneiden ominaisuuksien uudelleenjärjestelyyn tai laajentamiseen Rustiin. Tällaisen toiminnallisuuden toteuttaminen Rustissa vaatii huomattavaa teknistä asiantuntemusta, mikä korostaa projektin taustalla olevaa monimutkaisuutta.

Monivaiheinen tartuntaketju ja väistötaktiikat

VENON leviää huolellisesti jäsennellyn tartuntaketjun kautta, joka lopulta suorittaa haitallisen dynaamisen linkkikirjaston DLL-sivulatauksen kautta. Kampanjan uskotaan perustuvan ClickFix-tekniikan kaltaisiin sosiaalisen manipuloinnin strategioihin, joilla uhrit yritetään saada lataamaan ZIP-arkisto, joka sisältää hyötysisällön.

Suoritus alkaa PowerShell-skriptillä, joka hakee ja käynnistää haitalliset komponentit. Ennen haitallisen toiminnan aloittamista DLL suorittaa laajan joukon puolustavia väistötoimenpiteitä:

• Hiekkalaatikkotarkistukset
• Epäsuorat järjestelmäkutsut tietoturvavalvonnan ohittamiseksi
• ETW:n (Windows-tapahtumien jäljitys) ohitustekniikat
• AMSI (Antimalware Scan Interface) -ohitusmekanismit
• Lisäanalyysin vastaiset rutiinit, jotka muodostavat yhteensä yhdeksän väistöstrategiaa

Läpäistyään nämä tarkistukset haittaohjelma hakee määritystiedot Google Cloud -infrastruktuurissa olevasta pilviresurssista. Sen jälkeen se asentaa ajoitetun tehtävän pysyvyyttä varten ja muodostaa WebSocket-yhteyden komento- ja ohjauspalvelimeensa.

Kohdennettu oikopolun kaappaus Itaún pankkiohjelmistoa vastaan

Haitallinen DLL sisältää myös kaksi Visual Basic Scriptillä kirjoitettua upotettua skriptiä. Nämä skriptit toteuttavat kohdennetun pikakuvakkeiden kaappauksen, joka on suunnattu erityisesti Itaú Unibancon työpöytäsovellukseen.

Mekanismi korvaa lailliset järjestelmän oikotiet manipuloiduilla versioilla, jotka ohjaavat uhrit hyökkääjän hallitsemille verkkosivuille, joiden tarkoituksena on kaapata arkaluonteisia taloudellisia tietoja. Tämä kohdennettu lähestymistapa osoittaa vahvaa keskittymistä Brasilian arvokkaisiin pankkialustoihin.

Mielenkiintoista kyllä, haittaohjelma sisältää poistotoiminnon, joka voi palauttaa alkuperäiset pikakuvakkeet. Tämä toiminto edellyttää etäkäyttöä ja antaa hyökkääjille mahdollisuuden poistaa todisteita tietomurrosta toiminnon valmistuttua.

Laaja taloudellinen kohdentaminen ja valtakirjojen varkausstrategia

VENON on suunniteltu valvomaan sekä aktiivisten ikkunoiden otsikoita että selainverkkotunnuksia, jolloin se havaitsee, milloin käyttäjät käyttävät rahoituspalveluita. Haittaohjelma on konfiguroitu tunnistamaan toimintaa, johon liittyy 33 rahoituslaitosta ja digitaalisen omaisuuden alustaa.

Kun haittaohjelma havaitsee kohteena olevan sovelluksen tai verkkosivuston, se käyttää petollisia peittokuvia, jotka matkivat laillisia kirjautumisliittymiä. Näiden peittojen kanssa vuorovaikutuksessa olevat uhrit lähettävät tietämättään tunnistetietonsa suoraan hyökkääjille, mikä mahdollistaa tilin kaappauksen ja rahavarkaudet.