Malware bancar VENON
Cercetătorii în domeniul securității cibernetice au descoperit o nouă campanie de malware bancar care vizează utilizatorii din Brazilia. Malware-ul, numit VENON, marchează o schimbare notabilă în ecosistemul regional al criminalității cibernetice, deoarece este scris în limbajul de programare Rust, nu în limbajul tradițional Delphi.
Această schimbare în abordarea dezvoltării reprezintă o evoluție semnificativă în ceea ce privește programele malware din domeniul bancar din America Latină, care s-au bazat în mod tradițional pe framework-uri bazate pe Delphi. VENON vizează în mod specific mediile Windows și a fost descoperit inițial în februarie 2026.
Cuprins
Paralele comportamentale cu troienii bancari consacrați
În ciuda limbajului său de implementare modern, VENON prezintă comportamente operaționale consistente cu troieni bancari latino-americani bine-cunoscuți, precum Grandoreiro, Mekotio și Coyote.
Malware-ul integrează mai multe capabilități asociate de obicei cu aceste amenințări:
- Logică bancară suprapusă concepută pentru a imita interfețe financiare legitime
- Monitorizare activă a ferestrelor pentru detectarea aplicațiilor bancare sau a site-urilor web vizate
- Mecanisme de deturnare a scurtăturilor (LNK) pentru redirecționarea victimelor către o infrastructură malițioasă
Aceste asemănări sugerează că VENON a fost proiectat având în vedere cunoștințele detaliate despre modelele operaționale utilizate de campaniile de malware bancar existente în regiune.
Indicii de dezvoltare și posibila utilizare a inteligenței artificiale generative
Campania nu a fost încă atribuită oficial unui actor de amenințare sau unui grup de infractori cibernetici cunoscuți. Cu toate acestea, analiza criminalistică a unei versiuni anterioare din ianuarie 2026 a dezvăluit urme ale mediului dezvoltatorului încorporate în fișierul binar. Căile fișierelor fac referire în mod repetat la un profil de utilizator Windows etichetat „byst4”, cum ar fi C:\Users\byst4..., indicând o posibilă perspectivă asupra configurației de dezvoltare a actorului de amenințare.
Analiza codului indică, de asemenea, o structură consistentă cu dezvoltatorii deja familiarizați cu tehnicile de malware bancar din America Latină. În același timp, baza de cod sugerează posibila utilizare a instrumentelor de inteligență artificială generativă pentru a refactoriza sau extinde capabilitățile deja stabilite în Rust. Implementarea unei astfel de funcționalități în Rust necesită o expertiză tehnică substanțială, subliniind sofisticarea din spatele proiectului.
Lanțul de infecții în mai multe etape și tacticile de evitare
VENON este transmis printr-un lanț de infecție atent structurat care, în cele din urmă, execută o bibliotecă dinamică de legături malițioase prin încărcare laterală DLL. Se crede că această campanie se bazează pe strategii de inginerie socială similare tehnicii ClickFix pentru a convinge victimele să descarce o arhivă ZIP care conține payload-ul.
Execuția începe cu un script PowerShell care preia și lansează componentele rău intenționate. Înainte de a iniția orice activitate rău intenționată, DLL-ul efectuează un set extins de măsuri defensive de evitare a defensivei:
- Verificări anti-sandbox
- Apeluri de sistem indirecte pentru ocolirea monitorizării de securitate
- Tehnici de ocolire ETW (Event Tracing for Windows)
- Mecanisme de ocolire AMSI (Antimalware Scan Interface)
- Rutine anti-analiză suplimentare care formează un total de nouă strategii de evitare
După ce trece aceste verificări, malware-ul preia datele de configurare dintr-o resursă găzduită în cloud, stocată pe infrastructura Google Cloud. Apoi instalează o sarcină programată pentru persistență și stabilește o conexiune WebSocket cu serverul său de comandă și control.
Deturnare țintită prin scurtături împotriva software-ului bancar Itaú
DLL-ul malițios conține, de asemenea, două scripturi încorporate scrise în Visual Basic Script. Aceste scripturi implementează o operațiune de deturnare a scurtăturilor direcționată, care vizează în mod specific aplicația desktop a Itaú Unibanco.
Mecanismul înlocuiește scurtăturile legitime ale sistemului cu versiuni manipulate care redirecționează victimele către pagini web controlate de atacatori, concepute pentru a captura date financiare sensibile. Această abordare specifică indică o concentrare puternică pe platformele bancare de mare valoare din Brazilia.
Interesant este că malware-ul include o funcție de dezinstalare care poate restaura comenzile rapide originale. Această funcționalitate implică controlul de la distanță al operatorului și permite atacatorilor să elimine dovezile compromiterii odată ce o operațiune este finalizată.
Strategie de direcționare financiară largă și furt de acreditări
VENON este conceput pentru a monitoriza atât titlurile ferestrelor active, cât și domeniile browserului, permițându-i să detecteze când utilizatorii accesează servicii financiare. Programul malware este configurat să recunoască activitatea care implică 33 de instituții financiare și platforme de active digitale.
Odată ce o aplicație sau un site web vizat este detectat, malware-ul implementează ecrane suprapuse frauduloase care imită interfețe de conectare legitime. Victimele care interacționează cu aceste ecrane suprapuse își trimit, fără să știe, datele de autentificare direct atacatorilor, permițând preluarea controlului asupra conturilor și furtul financiar.
