VENON banki kártevő
Kiberbiztonsági kutatók lelepleztek egy új banki kártevő kampányt, amely Brazíliában célozza meg a felhasználókat. A VENON névre keresztelt kártevő figyelemre méltó változást jelez a regionális kiberbűnözési ökoszisztémában, mivel a Rust programozási nyelven íródott, nem pedig a hagyományosan használt Delphi-ben.
Ez a fejlesztési megközelítésbeli változás jelentős evolúciót jelent a latin-amerikai banki kártevők terén, amelyek történelmileg Delphi-alapú keretrendszerekre támaszkodtak. A VENON kifejezetten a Windows környezeteket célozza meg, és először 2026 februárjában fedezték fel.
Tartalomjegyzék
Viselkedési párhuzamok a bevett banki trójai vírusokkal
Modern implementációs nyelvezete ellenére a VENON működési viselkedése összhangban van az olyan jól ismert latin-amerikai banki trójaiakkal, mint a Grandoreiro, a Mekotio és a Coyote.
A rosszindulatú program számos, az alábbi fenyegetésekkel jellemzően összefüggő képességet integrál:
- Banki átfedési logika, amely a legitim pénzügyi interfészek megszemélyesítésére szolgál
- Aktív ablakfigyelés a célzott banki alkalmazások vagy webhelyek észlelésére
- Shortcut (LNK) eltérítési mechanizmusok az áldozatok rosszindulatú infrastruktúra felé való átirányítására
Ezek a hasonlóságok arra utalnak, hogy a VENON-t a régióban már meglévő banki rosszindulatú kampányok működési mintáinak részletes ismeretében tervezték.
Fejlesztési tippek és a generatív mesterséges intelligencia lehetséges felhasználása
A kampányt hivatalosan még nem tulajdonították ismert fenyegető szereplőnek vagy kiberbűnözői csoportnak. Egy korábbi, 2026 januári build forenzikus elemzése azonban a bináris fájlba ágyazott fejlesztői környezet nyomait tárta fel. A fájlelérési utak ismételten egy „byst4” feliratú Windows felhasználói profilra hivatkoznak, például a C:\Users\byst4... mappába, ami potenciális betekintést enged a fenyegető szereplő fejlesztési beállításába.
A kódelemzés továbbá egy olyan struktúrát mutat, amely összhangban van a latin-amerikai banki kártevő technikákkal már ismerő fejlesztőkkel. Ugyanakkor a kódbázis generatív mesterséges intelligencia eszközök lehetséges használatát sugallja a korábban létrehozott képességek Rustba való refaktorálására vagy kiterjesztésére. Az ilyen funkciók Rustba való megvalósítása jelentős technikai szakértelmet igényel, ami kiemeli a projekt mögött álló kifinomultságot.
Többlépcsős fertőzési lánc és kitérési taktikák
A VENON egy gondosan felépített fertőzési láncon keresztül terjed, amely végül egy rosszindulatú dinamikus csatolású könyvtárat futtat DLL oldalra töltéssel. A kampány állítólag a ClickFix technikához hasonló társadalmi manipulációs stratégiákra támaszkodik, hogy rávegye az áldozatokat a hasznos adatokat tartalmazó ZIP archívum letöltésére.
A végrehajtás egy PowerShell szkripttel kezdődik, amely lekéri és elindítja a rosszindulatú komponenseket. Mielőtt bármilyen rosszindulatú tevékenységet elindítana, a DLL számos védekező elkerülési intézkedést hajt végre:
- Anti-sandbox ellenőrzések
- Közvetett rendszerhívások a biztonsági monitorozás megkerülésére
- ETW (Event Tracing for Windows) megkerülési technikák
- AMSI (Antimalware Scan Interface) megkerülő mechanizmusok
- További elemzésellenes rutinok, amelyek összesen kilenc kitérési stratégiát alkotnak
Miután átment ezeken az ellenőrzéseken, a rosszindulatú program konfigurációs adatokat kér le egy, a Google Cloud infrastruktúráján tárolt felhőalapú erőforrásról. Ezután telepít egy ütemezett feladatot a megőrzés érdekében, és WebSocket-kapcsolatot létesít a parancs- és vezérlőszerverével.
Célzott gyorsbillentyű-eltérítés az Itaú banki szoftver ellen
A rosszindulatú DLL két beágyazott, Visual Basic Script nyelven írt szkriptet is tartalmaz. Ezek a szkriptek célzott parancsikon-eltérítési műveletet hajtanak végre, kifejezetten az Itaú Unibanco asztali alkalmazását célozva.
A mechanizmus a legitim rendszerparancsokat manipulált verziókkal helyettesíti, amelyek az áldozatokat a támadók által ellenőrzött weboldalakra irányítják át, amelyek célja az érzékeny pénzügyi adatok megszerzése. Ez a célzott megközelítés a brazil nagy értékű banki platformokra irányuló erős összpontosítást jelzi.
Érdekes módon a kártevő eltávolítási funkcióval rendelkezik, amely visszaállítja az eredeti parancsikonokat. Ez a funkció távoli operátori vezérlést igényel, és lehetővé teszi a támadók számára, hogy a művelet befejezése után eltávolítsák a behatolásra utaló bizonyítékokat.
Széles körű pénzügyi célzás és hitelesítő adatok ellopásának stratégiája
A VENON-t úgy tervezték, hogy figyelje mind az aktív ablakcímeket, mind a böngészőtartományokat, lehetővé téve annak észlelését, hogy a felhasználók mikor férnek hozzá pénzügyi szolgáltatásokhoz. A rosszindulatú program úgy van konfigurálva, hogy felismerje a 33 pénzügyi intézményt és digitális eszközplatformot érintő tevékenységeket.
Miután egy célzott alkalmazást vagy weboldalt észlel, a rosszindulatú program csaló, átfedő képernyőket jelenít meg, amelyek jogos bejelentkezési felületeket utánoznak. Az ezekkel az átfedő képernyőkkel interakcióba lépő áldozatok tudtukon kívül közvetlenül megadják hitelesítő adataikat a támadóknak, lehetővé téve a fiókok átvételét és a pénzügyi lopást.
