다중 라이센스 할인 견적
위협 데이터베이스 모바일 맬웨어 VENON 뱅킹 멀웨어

VENON 뱅킹 멀웨어

모바일 맬웨어, 뱅킹 트로이 목마년에 Mezo 년까지
번역 :

사이버 보안 연구원들이 브라질 사용자들을 겨냥한 새로운 은행 악성코드 캠페인을 발견했습니다. VENON이라는 이름의 이 악성코드는 기존에 사용되던 델파이(Delphi) 언어가 아닌 러스트(Rust) 언어로 작성되었다는 점에서 지역 사이버 범죄 생태계에 주목할 만한 변화를 가져왔습니다.

이러한 개발 방식의 변화는 과거 델파이 기반 프레임워크에 의존해왔던 라틴 아메리카 은행 악성코드에 있어 중요한 진화를 의미합니다. VENON은 특히 윈도우 환경을 표적으로 삼으며, 2026년 2월에 처음 발견되었습니다.

기존 은행 트로이목마와의 행동적 유사점

VENON은 최신 구현 언어를 사용함에도 불구하고 Grandoreiro, Mekotio, Coyote와 같은 잘 알려진 라틴 아메리카 뱅킹 트로이목마와 유사한 작동 방식을 보입니다.

해당 악성 소프트웨어는 이러한 위협과 일반적으로 연관된 여러 기능을 통합하고 있습니다.

  • 합법적인 금융 인터페이스를 가장하도록 설계된 뱅킹 오버레이 로직
  • 표적 은행 애플리케이션 또는 웹사이트를 탐지하기 위한 활성 창 모니터링
  • 피해자를 악성 인프라로 리디렉션하는 바로가기(LNK) 하이재킹 메커니즘

이러한 유사점은 VENON이 해당 지역의 기존 은행 악성코드 공격 캠페인에서 사용되는 운영 패턴에 대한 상세한 지식을 바탕으로 설계되었음을 시사합니다.

생성형 인공지능의 개발 단서 및 활용 가능성

이 캠페인은 아직 공식적으로 알려진 위협 행위자 또는 사이버 범죄 집단과 연관되지 않았습니다. 그러나 2026년 1월에 생성된 초기 빌드에 대한 포렌식 분석 결과, 바이너리에 개발자 환경의 흔적이 포함되어 있는 것이 발견되었습니다. 파일 경로에서 'byst4'라는 이름의 Windows 사용자 프로필(예: C:\Users\byst4...)이 반복적으로 언급되는 것을 통해 위협 행위자의 개발 환경에 대한 정보를 얻을 수 있을 것으로 예상됩니다.

코드 분석 결과, 해당 구조는 개발자들이 이미 중남미 은행 악성코드 기법에 익숙할 가능성이 높다는 것을 시사합니다. 동시에, 코드베이스는 생성형 AI 도구를 활용하여 기존 기능을 Rust 언어로 재구성하거나 확장할 수 있는 가능성을 보여줍니다. Rust로 이러한 기능을 구현하려면 상당한 기술적 전문성이 요구되므로, 이 프로젝트의 난이도가 매우 높다는 것을 알 수 있습니다.

다단계 감염 사슬 및 회피 전술

VENON은 치밀하게 구성된 감염 경로를 통해 유포되며, 최종적으로 DLL 사이드 로딩을 통해 악성 동적 링크 라이브러리를 실행합니다. 이 공격은 ClickFix 기법과 유사한 사회공학적 전략을 사용하여 피해자가 악성 페이로드가 포함된 ZIP 압축 파일을 다운로드하도록 유도하는 것으로 추정됩니다.

실행은 악성 구성 요소를 검색하고 실행하는 PowerShell 스크립트로 시작됩니다. 악성 활동을 시작하기 전에 DLL은 광범위한 방어 회피 조치를 수행합니다.

  • 샌드박스 방지 검사
  • 보안 모니터링을 우회하기 위한 간접 시스템 호출
  • ETW(윈도우 이벤트 추적) 우회 기술
  • AMSI(Antimalware Scan Interface) 우회 메커니즘
  • 추가적인 분석 방지 루틴을 통해 총 9가지 회피 전략을 구현했습니다.

이러한 검사를 통과한 후, 악성 프로그램은 Google Cloud 인프라에 저장된 클라우드 호스팅 리소스에서 구성 데이터를 가져옵니다. 그런 다음 지속성을 위해 예약된 작업을 설치하고 명령 및 제어 서버와 WebSocket 연결을 설정합니다.

Itaú 뱅킹 소프트웨어를 대상으로 한 바로가기 탈취 공격

해당 악성 DLL에는 Visual Basic Script로 작성된 두 개의 스크립트가 내장되어 있습니다. 이 스크립트들은 Itaú Unibanco 데스크톱 애플리케이션을 대상으로 하는 바로가기 키 탈취 공격을 실행합니다.

이 공격 방식은 정상적인 시스템 바로가기를 조작된 바로가기로 대체하여 피해자를 공격자가 제어하는 웹 페이지로 리디렉션하고 민감한 금융 정보를 탈취합니다. 이러한 표적 공격은 브라질 내 고가치 은행 플랫폼을 집중적으로 노리고 있음을 시사합니다.

흥미롭게도, 해당 악성코드에는 원래 바로가기를 복원할 수 있는 제거 기능이 포함되어 있습니다. 이 기능은 원격 운영자 제어를 의미하며, 공격자가 작업이 완료되면 침해 증거를 제거할 수 있도록 합니다.

광범위한 금융 정보 수집 및 자격 증명 도용 전략

VENON은 활성 창 제목과 브라우저 도메인을 모두 모니터링하도록 설계되어 사용자가 금융 서비스에 접속하는 시점을 감지할 수 있습니다. 이 악성 프로그램은 33개 금융 기관 및 디지털 자산 플랫폼과 관련된 활동을 인식하도록 구성되어 있습니다.

악성 프로그램은 특정 애플리케이션이나 웹사이트를 탐지한 후, 합법적인 로그인 인터페이스를 모방한 가짜 오버레이 화면을 표시합니다. 이러한 오버레이 화면을 이용하는 피해자는 자신도 모르게 계정 정보를 공격자에게 직접 전송하게 되어 계정 탈취 및 금전적 피해를 입게 됩니다.

트렌드

Precludestore.com

불량 웹사이트, 브라우저 하이재커
Precludestore.com은 신뢰할 수 없는 것으로 간주되는 제휴 링크가 있는 사기성 웹사이트로 식별됩니다. 사용자는 일반적으로 비디오 스트리밍, 소셜 미디어 스크롤, 기타 인터넷 작업 참여 등 일상적인 온라인 활동 중에 URL을 표시하는 예상치 못한 팝업 광고를 통해 이 사이트를 발견합니다. 브라우저를 닫으면 이러한 팝업이 일시적으로 제거될 수...

Tarwils.com

불량 웹사이트, 애드웨어
Tarwils.com은 비윤리적인 전술을 사용하는 사기성 웹 페이지로 연결되는 URL입니다. 주요 목표는 전술을 홍보하고 사용자에게 침해적인 브라우저 알림을 전달하는 것입니다. 더욱이, 이 웹사이트는 사용자를 다른 웹사이트로 안내하여 종종 신뢰할 수 없거나 안전하지 않은 목적지로 안내하는 기능을 보유할 수 있습니다. 대부분의 경우 개인은 악성 광고...

Suddslife.com

불량 웹사이트, 애드웨어
인터넷을 탐색하려면 온라인 전술의 희생양이 되지 않도록 주의와 경계가 필요합니다. Suddslife.com과 같은 악성 웹사이트는 사용자의 마음의 평화와 보안을 희생하면서 광고 수익을 창출하기 위해 기만적인 전술을 사용하여 온라인에 숨어 있는 위험을 보여줍니다. 이러한 사이트의 기능을 이해하고 주의 신호를 인식하면 탐색하는 동안 안전을 유지하는 데...

가장 많이 본

'프린터 드라이버를 사용할 수 없음'오류를 수정하는 방법

문제
37,730
프린터는 사용자가 가장 필요로 할 때마다 작업을 거부하는 것으로 유명합니다. 다행히 프린터에 프린터 드라이버를 사용할 수 없음' 오류가 표시되는 경우 문제를 해결할 수 있는 몇 가지 쉬운 솔루션이 있습니다. 이 특정 오류는 손상된 드라이버 파일, 오래된 드라이버 또는 드라이버 비호환성으로 인해 발생할 수 있습니다. Microsoft의 일반 드라이버를...

'macOS는 이 앱에 맬웨어가 없는지 확인할 수 없습니다' 수정 방법

문제
32,341
Mac 사용자는 일반적으로 알 수 없는 개발자의 응용 프로그램이나 공식 App Store에서 사용할 수 없고 타사 앱에서 제공하는 응용 프로그램을 설치하려고 할 때 'macOS에서 이 앱에 맬웨어가 없는지 확인할 수 없습니다'라는 메시지가 표시됩니다.라이선스 플랫폼. 이러한 경우 Gatekeep이라는 내장 Mac 보안 시스템은 특정...
화면을 공유 할 때 Discord에 검은 색 화면이 표시됨 스크린샷

화면을 공유 할 때 Discord에 검은 색 화면이 표시됨

문제
30,919
처음 출시되었을 때 Discord는 게임 커뮤니티를 위한 VoIP 플랫폼이었습니다. 그러나 그 후 몇 년 동안 범위를 확장하고 수많은 새로운 기능을 추가했으며 월간 활성 사용자가 1억 4천만 명이 넘는 가장 큰 소셜 플랫폼 중 하나가 되었습니다. 현재 사용자는 개인 인스턴트 메시지를 보내고, VoIP 및 화상 통화를 시작하고, 컴퓨터 화면을...
로드 중...