Банковское вредоносное ПО VENON
Исследователи в области кибербезопасности обнаружили новую кампанию банковского вредоносного ПО, нацеленную на пользователей в Бразилии. Вредоносная программа, получившая название VENON, знаменует собой заметный сдвиг в региональной экосистеме киберпреступности, поскольку она написана на языке программирования Rust, а не на традиционно используемом Delphi.
Изменение подхода к разработке представляет собой значительную эволюцию в сфере банковского вредоносного ПО в Латинской Америке, которое исторически опиралось на фреймворки на основе Delphi. VENON нацелен на среды Windows и был впервые обнаружен в феврале 2026 года.
Оглавление
Параллели в поведении с устоявшимися банковскими троянами.
Несмотря на современный язык программирования, VENON демонстрирует поведение, характерное для известных латиноамериканских банковских троянов, таких как Grandoreiro, Mekotio и Coyote.
Вредоносная программа объединяет в себе несколько возможностей, обычно присущих подобным угрозам:
- Логика банковского наложения, предназначенная для имитации легитимных финансовых интерфейсов.
- Активный мониторинг окон для обнаружения целевых банковских приложений или веб-сайтов.
- Механизмы перехвата Shortcut (LNK) используются для перенаправления жертв на вредоносную инфраструктуру.
Эти сходства позволяют предположить, что VENON был разработан с учетом детального знания операционных моделей, используемых существующими в регионе кампаниями по распространению банковского вредоносного ПО.
Подсказки для разработки и возможное применение генеративного ИИ
Официально приписать эту кампанию известному злоумышленнику или киберпреступной группе пока не установлено. Однако криминалистический анализ более ранней сборки от января 2026 года выявил следы среды разработчика, встроенные в бинарный файл. Пути к файлам неоднократно ссылаются на профиль пользователя Windows с меткой «byst4», например, C:\Users\byst4..., что указывает на потенциальную возможность получить представление о среде разработки злоумышленника.
Анализ кода дополнительно указывает на структуру, соответствующую разработчикам, уже знакомым с методами создания банковского вредоносного ПО в Латинской Америке. В то же время, кодовая база предполагает возможное использование инструментов генеративного ИИ для рефакторинга или расширения ранее созданных возможностей в Rust. Реализация такой функциональности в Rust требует значительных технических знаний, что подчеркивает сложность проекта.
Многоступенчатая цепочка заражения и тактика уклонения
VENON распространяется через тщательно структурированную цепочку заражения, которая в конечном итоге запускает вредоносную динамически подключаемую библиотеку посредством загрузки DLL-файлов. Считается, что кампания использует стратегии социальной инженерии, аналогичные методу ClickFix, чтобы убедить жертв загрузить ZIP-архив, содержащий полезную нагрузку.
Выполнение начинается со скрипта PowerShell, который загружает и запускает вредоносные компоненты. Перед началом любой вредоносной деятельности DLL-библиотека выполняет обширный набор мер по обходу защиты:
- Проверки на отсутствие «песочницы»
- Непрямые системные вызовы для обхода мониторинга безопасности
- Методы обхода ETW (Event Tracing for Windows)
- Механизмы обхода AMSI (Antimalware Scan Interface)
- Дополнительные процедуры противодействия анализу, в общей сложности девять стратегий обхода.
После прохождения этих проверок вредоносная программа получает данные конфигурации из облачного ресурса, хранящегося в инфраструктуре Google Cloud. Затем она устанавливает запланированное задание для обеспечения постоянного присутствия и устанавливает соединение WebSocket со своим сервером управления и контроля.
Целенаправленный перехват ярлыков в банковском программном обеспечении Itaú
Вредоносная DLL-библиотека также содержит два встроенных скрипта, написанных на Visual Basic Script. Эти скрипты реализуют целенаправленную операцию по перехвату ярлыков, специально предназначенную для настольного приложения Itaú Unibanco.
Этот механизм заменяет легитимные системные ярлыки модифицированными версиями, которые перенаправляют жертв на контролируемые злоумышленниками веб-страницы, предназначенные для сбора конфиденциальных финансовых данных. Такой целенаправленный подход указывает на сильную ориентацию на высокодоходные банковские платформы в Бразилии.
Примечательно, что вредоносная программа включает в себя функцию удаления, которая позволяет восстановить исходные ярлыки. Эта функциональность подразумевает удаленный контроль со стороны оператора и позволяет злоумышленникам удалить следы взлома после завершения операции.
Широкомасштабная стратегия целевого финансового воздействия и кражи учетных данных
VENON разработан для мониторинга как активных заголовков окон, так и доменов браузера, что позволяет ему определять, когда пользователи обращаются к финансовым услугам. Вредоносная программа настроена на распознавание активности, связанной с 33 финансовыми учреждениями и платформами цифровых активов.
После обнаружения целевого приложения или веб-сайта вредоносная программа развертывает мошеннические всплывающие окна, имитирующие легитимные интерфейсы входа в систему. Жертвы, взаимодействующие с этими окнами, неосознанно передают свои учетные данные непосредственно злоумышленникам, что позволяет захватить учетную запись и совершить финансовые кражи.
