Oferta rabatowa na wiele licencji
Baza danych zagrożeń Mobilne złośliwe oprogramowanie VENON Banking Malware

VENON Banking Malware

Do Mezo w Mobilne złośliwe oprogramowanie, Trojan bankowy
Przetłumacz na:

Badacze cyberbezpieczeństwa odkryli nową kampanię złośliwego oprogramowania bankowego wymierzoną w użytkowników w Brazylii. Szkodliwe oprogramowanie o nazwie VENON oznacza znaczącą zmianę w regionalnym ekosystemie cyberprzestępczości, ponieważ zostało napisane w języku programowania Rust, a nie tradycyjnie używanym Delphi.

Ta zmiana w podejściu programistycznym stanowi znaczącą ewolucję w zakresie złośliwego oprogramowania bankowego w Ameryce Łacińskiej, które historycznie opierało się na frameworkach opartych na Delphi. VENON atakuje głównie środowiska Windows i został po raz pierwszy wykryty w lutym 2026 roku.

Paralele behawioralne z uznanymi trojanami bankowymi

Pomimo nowoczesnego języka implementacji, VENON wykazuje zachowania operacyjne zgodne z dobrze znanymi latynoamerykańskimi trojanami bankowymi, takimi jak Grandoreiro, Mekotio i Coyote.

Szkodliwe oprogramowanie integruje kilka możliwości typowo kojarzonych z tego typu zagrożeniami:

  • Logika nakładki bankowej zaprojektowana w celu podszywania się pod legalne interfejsy finansowe
  • Aktywny monitoring okien w celu wykrywania docelowych aplikacji bankowych lub witryn internetowych
  • Mechanizmy przechwytywania skrótów (LNK) służące do przekierowywania ofiar w stronę złośliwej infrastruktury

Podobieństwa te wskazują, że VENON został zaprojektowany z uwzględnieniem szczegółowej wiedzy na temat wzorców operacyjnych wykorzystywanych w istniejących kampaniach złośliwego oprogramowania bankowego w tym regionie.

Wskazówki dotyczące rozwoju i możliwe zastosowanie sztucznej inteligencji generatywnej

Kampania nie została jeszcze formalnie przypisana znanemu podmiotowi zagrażającemu ani grupie cyberprzestępców. Jednak analiza kryminalistyczna wcześniejszej kompilacji ze stycznia 2026 roku ujawniła ślady środowiska programisty osadzone w pliku binarnym. Ścieżki plików wielokrotnie odwołują się do profilu użytkownika systemu Windows oznaczonego etykietą „byst4”, na przykład C:\Users\byst4..., co wskazuje na potencjalne informacje na temat konfiguracji programistycznej podmiotu zagrażającego.

Analiza kodu wskazuje ponadto na strukturę zgodną z tą, którą znają już programiści znający techniki złośliwego oprogramowania bankowego w Ameryce Łacińskiej. Jednocześnie baza kodu sugeruje możliwość wykorzystania generatywnych narzędzi sztucznej inteligencji do refaktoryzacji lub rozszerzenia wcześniej istniejących możliwości w języku Rust. Implementacja takiej funkcjonalności w języku Rust wymaga znacznej wiedzy technicznej, co podkreśla złożoność projektu.

Wieloetapowy łańcuch infekcji i taktyki unikania

VENON jest dostarczany za pośrednictwem starannie ustrukturyzowanego łańcucha infekcji, który ostatecznie uruchamia złośliwą bibliotekę DLL poprzez boczne ładowanie bibliotek DLL. Uważa się, że kampania opiera się na strategiach socjotechnicznych podobnych do techniki ClickFix, aby przekonać ofiary do pobrania archiwum ZIP zawierającego ładunek.

Wykonanie rozpoczyna się od skryptu programu PowerShell, który pobiera i uruchamia szkodliwe komponenty. Przed zainicjowaniem jakiejkolwiek szkodliwej aktywności, biblioteka DLL wykonuje rozbudowany zestaw obronnych środków obejścia:

  • Sprawdzanie anty-sandboxów
  • Pośrednie wywołania systemowe w celu ominięcia monitorowania bezpieczeństwa
  • Techniki omijania ETW (Event Tracing for Windows)
  • Mechanizmy omijania interfejsu skanowania antymalware AMSI
  • Dodatkowe procedury antyanalizy tworzące łącznie dziewięć strategii unikania

Po przejściu tych kontroli złośliwe oprogramowanie pobiera dane konfiguracyjne z zasobu hostowanego w chmurze, przechowywanego w infrastrukturze Google Cloud. Następnie instaluje zaplanowane zadanie w celu zapewnienia trwałości i nawiązuje połączenie WebSocket ze swoim serwerem poleceń i kontroli.

Celowe przejęcie kontroli nad skrótami oprogramowania bankowego Itaú

Złośliwa biblioteka DLL zawiera również dwa osadzone skrypty napisane w języku Visual Basic Script. Skrypty te realizują ukierunkowaną operację przechwytywania skrótów, skierowaną konkretnie do aplikacji desktopowej Itaú Unibanco.

Mechanizm ten zastępuje legalne skróty systemowe zmanipulowanymi wersjami, które przekierowują ofiary na kontrolowane przez atakujących strony internetowe, mające na celu przechwycenie poufnych danych uwierzytelniających. To ukierunkowane podejście wskazuje na silne skupienie się na platformach bankowych o wysokiej wartości w Brazylii.

Co ciekawe, złośliwe oprogramowanie zawiera funkcję deinstalacji, która pozwala przywrócić oryginalne skróty. Funkcjonalność ta wymaga zdalnej kontroli operatora i umożliwia atakującym usunięcie dowodów naruszenia po zakończeniu operacji.

Szeroka strategia ataków finansowych i kradzieży danych uwierzytelniających

VENON został zaprojektowany do monitorowania zarówno aktywnych tytułów okien, jak i domen przeglądarek, co pozwala mu wykrywać, kiedy użytkownicy korzystają z usług finansowych. Szkodliwe oprogramowanie jest skonfigurowane do rozpoznawania aktywności związanej z 33 instytucjami finansowymi i platformami aktywów cyfrowych.

Po wykryciu docelowej aplikacji lub witryny, złośliwe oprogramowanie uruchamia fałszywe ekrany nakładkowe, które imitują legalne interfejsy logowania. Ofiary korzystające z tych ekranów nieświadomie przekazują swoje dane uwierzytelniające bezpośrednio atakującym, umożliwiając przejęcie konta i kradzież środków finansowych.

Popularne

Najczęściej oglądane

Ładowanie...