VENON Banking Malware

Forskere på nettsikkerhet har avdekket en ny kampanje for skadelig programvare for banker som retter seg mot brukere i Brasil. Skadevaren, kalt VENON, markerer et bemerkelsesverdig skifte i det regionale økosystemet for nettkriminalitet fordi den er skrevet i programmeringsspråket Rust i stedet for det tradisjonelt brukte Delphi.

Denne endringen i utviklingsmetoden representerer en betydelig utvikling innen latinamerikansk bankskadevare, som historisk sett har vært avhengig av Delphi-baserte rammeverk. VENON retter seg spesifikt mot Windows-miljøer og ble opprinnelig oppdaget i februar 2026.

Atferdsmessige paralleller med etablerte banktrojanere

Til tross for sitt moderne implementeringsspråk, viser VENON operasjonell atferd som er i samsvar med kjente latinamerikanske banktrojanere som Grandoreiro, Mekotio og Coyote.

Skadevaren integrerer flere funksjoner som vanligvis er forbundet med disse truslene:

• Bankoverleggslogikk designet for å etterligne legitime finansielle grensesnitt
• Aktiv vindusovervåking for å oppdage målrettede bankapplikasjoner eller nettsteder
• Snarveikapringsmekanismer (LNK) for å omdirigere ofre mot ondsinnet infrastruktur

Disse likhetene tyder på at VENON ble utviklet med detaljert kunnskap om driftsmønstrene som brukes av eksisterende bankkampanjer mot skadelig programvare i regionen.

Utviklingsledetråder og mulig bruk av generativ AI

Kampanjen er ennå ikke formelt tilskrevet en kjent trusselaktør eller nettkriminell gruppe. Rettsmedisinsk analyse av en tidligere versjon fra januar 2026 avdekket imidlertid spor av utviklerens miljø innebygd i binærfilen. Filstier refererer gjentatte ganger til en Windows-brukerprofil merket «byst4», for eksempel C:\Users\byst4..., noe som indikerer potensiell innsikt i trusselaktørens utviklingsoppsett.

Kodeanalyse indikerer videre en struktur som er i samsvar med utviklere som allerede er kjent med teknikker for skadelig programvare innen bankvirksomhet i Latin-Amerika. Samtidig antyder kodebasen mulig bruk av generative AI-verktøy for å refaktorere eller utvide tidligere etablerte funksjoner i Rust. Implementering av slik funksjonalitet i Rust krever betydelig teknisk ekspertise, noe som fremhever sofistikasjonen bak prosjektet.

Flertrinns infeksjonskjede og unnvikelsestaktikker

VENON leveres gjennom en nøye strukturert infeksjonskjede som til slutt kjører et ondsinnet dynamisk lenkebibliotek gjennom DLL-sidelasting. Kampanjen antas å være avhengig av sosial manipulering-strategier som ligner på ClickFix-teknikken for å overbevise ofrene om å laste ned et ZIP-arkiv som inneholder nyttelasten.

Utførelsen starter med et PowerShell-skript som henter og starter de skadelige komponentene. Før den starter skadelig aktivitet, utfører DLL-en et omfattende sett med defensive unnvikelsestiltak:

• Anti-sandkasse-sjekker
• Indirekte systemkall for å omgå sikkerhetsovervåking
• ETW (Event Tracing for Windows) omgåelsesteknikker
• AMSI (Antimalware Scan Interface) omgåelsesmekanismer
• Ytterligere antianalyserutiner som danner totalt ni unnvikelsesstrategier

Etter å ha bestått disse kontrollene, henter skadevaren konfigurasjonsdata fra en skybasert ressurs lagret på Google Cloud-infrastrukturen. Deretter installerer den en planlagt oppgave for vedvarende drift og etablerer en WebSocket-tilkobling med kommando- og kontrollserveren.

Målrettet snarveikapring mot itaú-bankprogramvare

Den skadelige DLL-filen inneholder også to innebygde skript skrevet i Visual Basic Script. Disse skriptene implementerer en målrettet snarveikapringsoperasjon rettet spesielt mot skrivebordsapplikasjonen til Itaú Unibanco.

Mekanismen erstatter legitime systemsnarveier med manipulerte versjoner som omdirigerer ofre til angriperkontrollerte nettsider som er utformet for å fange sensitive økonomiske opplysninger. Denne målrettede tilnærmingen indikerer et sterkt fokus på høyverdige bankplattformer i Brasil.

Interessant nok inkluderer skadevaren en avinstalleringsfunksjon som kan gjenopprette de opprinnelige snarveiene. Denne funksjonaliteten innebærer fjernkontroll og lar angripere fjerne bevis på kompromittering når en operasjon er fullført.

Bred økonomisk målretting og strategi for legitimasjonstyveri

VENON er konstruert for å overvåke både aktive vindusnavn og nettleserdomener, slik at den kan oppdage når brukere får tilgang til finansielle tjenester. Skadevaren er konfigurert til å gjenkjenne aktivitet som involverer 33 finansinstitusjoner og digitale aktivaplattformer.

Når en målrettet applikasjon eller et målrettet nettsted oppdages, bruker skadevaren falske overleggsskjermer som etterligner legitime påloggingsgrensesnitt. Ofre som samhandler med disse overleggene sender uvitende innloggingsinformasjonen sin direkte til angriperne, noe som muliggjør kontoovertakelse og økonomisk tyveri.