Preventivo sconto multi-licenza
Database delle minacce Malware per dispositivi mobili VENON, malware bancario

VENON, malware bancario

Entro Mezo nel Malware per dispositivi mobili, Trojan bancario
Traduci in:

Alcuni ricercatori nel campo della sicurezza informatica hanno scoperto una nuova campagna di malware bancario che prende di mira gli utenti in Brasile. Il malware, denominato VENON, segna un notevole cambiamento nell'ecosistema regionale della criminalità informatica perché è scritto nel linguaggio di programmazione Rust anziché nel tradizionale Delphi.

Questo cambiamento nell'approccio di sviluppo rappresenta una significativa evoluzione nel panorama dei malware bancari latinoamericani, che storicamente si sono basati su framework Delphi. VENON prende di mira specificamente gli ambienti Windows ed è stato scoperto per la prima volta nel febbraio 2026.

Parallelismi comportamentali con i trojan bancari già noti

Nonostante il linguaggio di programmazione moderno utilizzato, VENON presenta comportamenti operativi coerenti con noti trojan bancari latinoamericani come Grandoreiro, Mekotio e Coyote.

Il malware integra diverse funzionalità tipicamente associate a queste minacce:

  • Logica di sovrapposizione bancaria progettata per impersonare interfacce finanziarie legittime
  • Monitoraggio attivo delle finestre per rilevare applicazioni o siti web bancari mirati
  • Meccanismi di dirottamento Shortcut (LNK) per reindirizzare le vittime verso infrastrutture dannose.

Queste somiglianze suggeriscono che VENON sia stato progettato con una conoscenza dettagliata degli schemi operativi utilizzati dalle campagne di malware bancario già presenti nella regione.

Indizi di sviluppo e possibili utilizzi dell’intelligenza artificiale generativa

La campagna non è stata ancora formalmente attribuita a un noto gruppo di hacker o criminali informatici. Tuttavia, l'analisi forense di una versione precedente, risalente a gennaio 2026, ha rivelato tracce dell'ambiente di sviluppo incorporate nel file binario. I percorsi dei file fanno ripetutamente riferimento a un profilo utente di Windows denominato "byst4", come ad esempio C:\Users\byst4..., fornendo potenziali informazioni sulla configurazione di sviluppo dell'autore della minaccia.

L'analisi del codice indica inoltre una struttura coerente con quella di sviluppatori già esperti nelle tecniche di malware bancario latinoamericane. Allo stesso tempo, il codice suggerisce il possibile utilizzo di strumenti di intelligenza artificiale generativa per rifattorizzare o espandere funzionalità già esistenti in Rust. L'implementazione di tali funzionalità in Rust richiede una notevole competenza tecnica, a dimostrazione della sofisticatezza del progetto.

Catena di infezione a più fasi e tattiche di elusione

VENON viene diffuso attraverso una catena di infezione attentamente strutturata che, in ultima analisi, esegue una libreria di collegamento dinamico dannosa tramite il side-loading di DLL. Si ritiene che la campagna si basi su strategie di ingegneria sociale simili alla tecnica ClickFix per convincere le vittime a scaricare un archivio ZIP contenente il payload.

L'esecuzione inizia con uno script PowerShell che recupera e avvia i componenti dannosi. Prima di avviare qualsiasi attività dannosa, la DLL esegue una serie completa di misure di elusione difensive:

  • Controlli anti-sandbox
  • Chiamate di sistema indirette per eludere il monitoraggio della sicurezza
  • Tecniche di bypass di ETW (Event Tracing for Windows)
  • Meccanismi di bypass dell'interfaccia di scansione AMSI (Antimalware Scan Interface)
  • Ulteriori routine anti-analisi che costituiscono un totale di nove strategie di elusione

Dopo aver superato questi controlli, il malware recupera i dati di configurazione da una risorsa ospitata nel cloud e archiviata sull'infrastruttura di Google Cloud. Successivamente, installa un'attività pianificata per la persistenza e stabilisce una connessione WebSocket con il suo server di comando e controllo.

Attacco mirato di dirottamento di scorciatoie contro il software bancario di Itaú

La DLL dannosa contiene anche due script incorporati scritti in Visual Basic Script. Questi script implementano un'operazione mirata di dirottamento di collegamenti, specificamente diretta all'applicazione desktop di Itaú Unibanco.

Il meccanismo sostituisce le legittime scorciatoie di sistema con versioni manipolate che reindirizzano le vittime a pagine web controllate dagli aggressori, progettate per carpire credenziali finanziarie sensibili. Questo approccio mirato indica una forte attenzione alle piattaforme bancarie di alto valore in Brasile.

È interessante notare che il malware include una funzionalità di disinstallazione in grado di ripristinare i collegamenti originali. Questa funzionalità implica il controllo remoto da parte dell'operatore e consente agli aggressori di eliminare le prove di compromissione una volta completata l'operazione.

Ampia strategia di individuazione di obiettivi finanziari e furto di credenziali

VENON è progettato per monitorare sia i titoli delle finestre attive che i domini del browser, consentendogli di rilevare quando gli utenti accedono a servizi finanziari. Il malware è configurato per riconoscere attività che coinvolgono 33 istituzioni finanziarie e piattaforme di asset digitali.

Una volta individuata un'applicazione o un sito web bersaglio, il malware installa schermate sovrapposte fraudolente che imitano le interfacce di accesso legittime. Le vittime che interagiscono con queste schermate inviano inconsapevolmente le proprie credenziali direttamente agli aggressori, consentendo il furto dell'account e il furto di denaro.

Tendenza

I più visti

Caricamento in corso...