Ponuda s popustom na više licenci
Baza prijetnji Mobilni malware VENON Bankarski zlonamjerni softver

VENON Bankarski zlonamjerni softver

Do Mezo. Mobilni malware, Bankarski trojanac. godine
Prevedi na:

Istraživači kibernetičke sigurnosti otkrili su novu kampanju zlonamjernog softvera za bankarstvo usmjerenu na korisnike u Brazilu. Zlonamjerni softver, nazvan VENON, označava značajnu promjenu u regionalnom ekosustavu kibernetičkog kriminala jer je napisan u programskom jeziku Rust, a ne u tradicionalno korištenom Delphiju.

Ova promjena u pristupu razvoju predstavlja značajnu evoluciju latinoameričkog bankarskog zlonamjernog softvera, koji se povijesno oslanjao na okvire temeljene na Delphiju. VENON posebno cilja Windows okruženja i prvi put je otkriven u veljači 2026.

Paralele u ponašanju s etabliranim bankarskim trojancima

Unatoč modernom implementacijskom jeziku, VENON pokazuje operativno ponašanje u skladu s poznatim latinoameričkim bankarskim trojancima kao što su Grandoreiro, Mekotio i Coyote.

Zlonamjerni softver integrira nekoliko mogućnosti koje su obično povezane s ovim prijetnjama:

  • Logika bankarskog prekrivanja dizajnirana za oponašanje legitimnih financijskih sučelja
  • Aktivno praćenje prozora za otkrivanje ciljanih bankarskih aplikacija ili web stranica
  • Mehanizmi otimanja podataka putem prečaca (LNK) za preusmjeravanje žrtava prema zlonamjernoj infrastrukturi

Ove sličnosti sugeriraju da je VENON osmišljen s detaljnim poznavanjem operativnih obrazaca koje koriste postojeće kampanje zlonamjernog softvera za bankarstvo u regiji.

Razvojni tragovi i moguća upotreba generativne umjetne inteligencije

Kampanja još nije formalno pripisana poznatom akteru prijetnje ili skupini kibernetičkog kriminala. Međutim, forenzička analiza ranije verzije iz siječnja 2026. otkrila je tragove razvojnog okruženja ugrađene u binarnu datoteku. Putanje datoteka opetovano upućuju na korisnički profil sustava Windows s oznakom 'byst4', kao što je C:\Users\byst4..., što ukazuje na potencijalni uvid u postavke razvoja aktera prijetnje.

Analiza koda dodatno ukazuje na strukturu koja je u skladu s programerima koji su već upoznati s tehnikama zlonamjernog softvera za latinoameričko bankarstvo. Istovremeno, baza koda sugerira moguću upotrebu generativnih AI alata za refaktoriranje ili proširenje prethodno uspostavljenih mogućnosti u Rust. Implementacija takve funkcionalnosti u Rustu zahtijeva znatno tehničko znanje, što naglašava sofisticiranost projekta.

Višefazni lanac infekcije i taktike izbjegavanja

VENON se isporučuje putem pažljivo strukturiranog lanca infekcije koji u konačnici izvršava zlonamjernu dinamičku biblioteku veza putem bočnog učitavanja DLL-a. Vjeruje se da se kampanja oslanja na strategije socijalnog inženjeringa slične tehnici ClickFix kako bi uvjerila žrtve da preuzmu ZIP arhivu koja sadrži korisni teret.

Izvršavanje započinje PowerShell skriptom koja dohvaća i pokreće zlonamjerne komponente. Prije pokretanja bilo kakve zlonamjerne aktivnosti, DLL provodi opsežan skup obrambenih mjera izbjegavanja:

  • Provjere protiv sandboxa
  • Neizravni sistemski pozivi za zaobilaženje sigurnosnog nadzora
  • Tehnike zaobilaženja ETW-a (praćenje događaja za Windows)
  • Mehanizmi zaobilaženja AMSI-ja (Antimalware Scan Interface)
  • Dodatne antianalitske rutine koje tvore ukupno devet strategija izbjegavanja

Nakon što prođe ove provjere, zlonamjerni softver dohvaća konfiguracijske podatke iz resursa hostiranog u oblaku pohranjenog na Google Cloud infrastrukturi. Zatim instalira zakazani zadatak za trajnost i uspostavlja WebSocket vezu sa svojim poslužiteljem za naredbe i kontrolu.

Ciljana krađa prečaca protiv softvera za bankarstvo Itaú

Zlonamjerni DLL također sadrži dva ugrađena skripta napisana u Visual Basic Scriptu. Ove skripte implementiraju ciljanu operaciju otmice prečaca usmjerenu posebno na desktop aplikaciju Itaú Unibanco.

Mehanizam zamjenjuje legitimne sistemske prečace manipuliranim verzijama koje preusmjeravaju žrtve na web stranice kojima upravljaju napadači, a osmišljene su za prikupljanje osjetljivih financijskih podataka. Ovaj ciljani pristup ukazuje na snažan fokus na visokovrijedne bankarske platforme unutar Brazila.

Zanimljivo je da zlonamjerni softver uključuje mogućnost deinstalacije koja može vratiti izvorne prečace. Ova funkcionalnost podrazumijeva daljinsku kontrolu operatera i omogućuje napadačima uklanjanje dokaza o kompromitiranju nakon što je operacija završena.

Široko financijsko ciljanje i strategija krađe vjerodajnica

VENON je dizajniran za praćenje i aktivnih naslova prozora i domena preglednika, što mu omogućuje otkrivanje kada korisnici pristupaju financijskim uslugama. Zlonamjerni softver konfiguriran je za prepoznavanje aktivnosti koje uključuju 33 financijske institucije i platforme za digitalnu imovinu.

Nakon što se otkrije ciljana aplikacija ili web-mjesto, zlonamjerni softver postavlja lažne prekrivajuće zaslone koji oponašaju legitimna sučelja za prijavu. Žrtve koje komuniciraju s tim prekrivajućim zaslonima nesvjesno šalju svoje vjerodajnice izravno napadačima, omogućujući preuzimanje računa i financijsku krađu.

U trendu

Nagledanije

Učitavam...