Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Mobiele malware VENON Banking Malware

VENON Banking Malware

Tegen Mezo in Mobiele malware, Bankieren Trojan
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een nieuwe malwarecampagne ontdekt die zich richt op gebruikers in de Braziliaanse banksector. De malware, genaamd VENON, markeert een opmerkelijke verschuiving in het regionale cybercriminaliteitsecosysteem, omdat deze is geschreven in de programmeertaal Rust in plaats van het traditioneel gebruikte Delphi.

Deze verandering in de ontwikkelingsaanpak vertegenwoordigt een belangrijke evolutie in Latijns-Amerikaanse bankmalware, die van oudsher gebruikmaakte van op Delphi gebaseerde frameworks. VENON richt zich specifiek op Windows-omgevingen en werd voor het eerst ontdekt in februari 2026.

Gedragsmatige overeenkomsten met gevestigde banktrojans

Ondanks de moderne programmeertaal vertoont VENON operationeel gedrag dat overeenkomt met bekende Latijns-Amerikaanse banktrojans zoals Grandoreiro, Mekotio en Coyote.

De malware integreert verschillende mogelijkheden die doorgaans met dit soort bedreigingen worden geassocieerd:

  • Een overlay-logica voor bankieren, ontworpen om legitieme financiële interfaces na te bootsen.
  • Actieve vensterbewaking om gerichte bankapplicaties of -websites te detecteren.
  • Snelkoppelingen (LNK) kapingsmechanismen om slachtoffers om te leiden naar kwaadaardige infrastructuur

Deze overeenkomsten suggereren dat VENON is ontwikkeld met gedetailleerde kennis van de operationele patronen die worden gebruikt door bestaande malwarecampagnes tegen banken in de regio.

Ontwikkelingsindices en mogelijk gebruik van generatieve AI

De campagne is nog niet formeel toegeschreven aan een bekende dader of cybercriminele groep. Forensisch onderzoek van een eerdere versie uit januari 2026 bracht echter sporen van de ontwikkelomgeving aan het licht die in het binaire bestand waren ingebed. Bestandspaden verwijzen herhaaldelijk naar een Windows-gebruikersprofiel met de naam 'byst4', zoals C:\Users\byst4..., wat mogelijk inzicht geeft in de ontwikkelomgeving van de dader.

Codeanalyse wijst verder op een structuur die consistent is met ontwikkelaars die al bekend zijn met malwaretechnieken gericht op Latijns-Amerikaanse banken. Tegelijkertijd suggereert de codebase het mogelijke gebruik van generatieve AI-tools om eerder ontwikkelde functionaliteiten te herstructureren of uit te breiden in Rust. Het implementeren van dergelijke functionaliteit in Rust vereist aanzienlijke technische expertise, wat de complexiteit van het project onderstreept.

Infectieketen in meerdere stadia en ontwijkingstactieken

VENON wordt verspreid via een zorgvuldig opgezette infectieketen die uiteindelijk een kwaadaardige dynamische linkbibliotheek uitvoert door middel van DLL-sideloading. De campagne maakt vermoedelijk gebruik van social engineering-strategieën, vergelijkbaar met de ClickFix-techniek, om slachtoffers over te halen een ZIP-archief met de payload te downloaden.

De uitvoering begint met een PowerShell-script dat de kwaadaardige componenten ophaalt en start. Voordat de DLL daadwerkelijk kwaadaardige activiteiten uitvoert, voert deze een uitgebreide reeks verdedigingsmaatregelen uit om aanvallen te omzeilen:

  • Anti-sandbox-controles
  • Indirecte systeemoproepen om beveiligingsmonitoring te omzeilen
  • ETW (Event Tracing for Windows) bypass-technieken
  • AMSI (Antimalware Scan Interface) bypass-mechanismen
  • Aanvullende anti-analyseprocedures, wat resulteert in een totaal van negen ontwijkingsstrategieën.

Nadat deze controles zijn doorstaan, haalt de malware configuratiegegevens op van een in de cloud gehoste bron die is opgeslagen op de Google Cloud-infrastructuur. Vervolgens installeert het een geplande taak voor persistentie en legt het een WebSocket-verbinding tot stand met zijn command-and-control-server.

Gerichte kaping van snelkoppelingen tegen Itaú Banking-software

De kwaadwillige DLL bevat ook twee ingebedde scripts, geschreven in Visual Basic Script. Deze scripts voeren een gerichte kapingsprocedure uit die specifiek gericht is op de desktopapplicatie van Itaú Unibanco.

Het mechanisme vervangt legitieme systeemsnelkoppelingen door gemanipuleerde versies die slachtoffers doorverwijzen naar door de aanvaller beheerde webpagina's die zijn ontworpen om gevoelige financiële gegevens te bemachtigen. Deze gerichte aanpak duidt op een sterke focus op waardevolle bankplatformen in Brazilië.

Opvallend is dat de malware een verwijderingsfunctie bevat waarmee de oorspronkelijke snelkoppelingen kunnen worden hersteld. Deze functionaliteit impliceert controle op afstand en stelt aanvallers in staat om alle sporen van de inbreuk te wissen zodra een aanval is voltooid.

Brede strategie voor financiële targeting en diefstal van inloggegevens

VENON is ontworpen om zowel actieve venstertitels als browserdomeinen te monitoren, waardoor het kan detecteren wanneer gebruikers financiële diensten bezoeken. De malware is geconfigureerd om activiteiten te herkennen die betrekking hebben op 33 financiële instellingen en digitale activaplatformen.

Zodra een specifieke applicatie of website is gedetecteerd, plaatst de malware frauduleuze overlay-schermen die legitieme inloginterfaces nabootsen. Slachtoffers die met deze overlays interageren, geven onbewust hun inloggegevens rechtstreeks aan de aanvallers door, waardoor accountovername en financiële diefstal mogelijk worden.

Trending

Meest bekeken

Bezig met laden...