Bankový malvér VENON
Výskumníci v oblasti kybernetickej bezpečnosti odhalili novú kampaň s bankovým malvérom zameranú na používateľov v Brazílii. Malvér s názvom VENON predstavuje významný posun v regionálnom ekosystéme kybernetickej kriminality, pretože je napísaný v programovacom jazyku Rust namiesto tradične používaného Delphi.
Táto zmena v prístupe k vývoju predstavuje významný vývoj v latinskoamerickom bankovom malvéri, ktorý sa historicky spoliehal na frameworky založené na Delphi. VENON sa špecificky zameriava na prostredia Windows a bol prvýkrát objavený vo februári 2026.
Obsah
Behaviorálne paralely so zavedenými bankovými trójskymi koňmi
Napriek modernému implementačnému jazyku vykazuje VENON prevádzkové správanie zodpovedajúce známym latinskoamerickým bankovým trójskym koňom, ako sú Grandoreiro, Mekotio a Coyote.
Tento škodlivý softvér integruje niekoľko funkcií, ktoré sa zvyčajne spájajú s týmito hrozbami:
- Logika bankovej prekrytia navrhnutá tak, aby sa vydávala za legitímne finančné rozhrania
- Aktívne monitorovanie okien na detekciu cielených bankových aplikácií alebo webových stránok
- Mechanizmy únosu skratiek (LNK) na presmerovanie obetí na škodlivú infraštruktúru
Tieto podobnosti naznačujú, že VENON bol navrhnutý s podrobnou znalosťou operačných vzorcov používaných existujúcimi kampaňami bankového škodlivého softvéru v regióne.
Vývojové indície a možné využitie generatívnej umelej inteligencie
Kampaň zatiaľ nebola formálne pripísaná známemu aktérovi hrozby ani kyberzločinnej skupine. Forenzná analýza skoršej zostavy z januára 2026 však odhalila stopy vývojárskeho prostredia vložené do binárneho súboru. Cesty k súborom opakovane odkazujú na profil používateľa systému Windows s označením „byst4“, napríklad C:\Users\byst4..., čo naznačuje potenciálny prehľad o vývojovom nastavení aktéra hrozby.
Analýza kódu ďalej naznačuje štruktúru, ktorá je v súlade s vývojármi, ktorí už poznajú techniky malvéru pre bankovníctvo v Latinskej Amerike. Zároveň kódová základňa naznačuje možné použitie generatívnych nástrojov umelej inteligencie na refaktoring alebo rozšírenie predtým zavedených funkcií do Rustu. Implementácia takejto funkcionality v Ruste si vyžaduje značné technické znalosti, čo zdôrazňuje sofistikovanosť projektu.
Viacstupňový reťazec infekcie a taktiky úniku
VENON sa šíri prostredníctvom starostlivo štruktúrovaného infekčného reťazca, ktorý nakoniec spustí škodlivú dynamickú linkovaciu knižnicu prostredníctvom bočného načítavania DLL. Predpokladá sa, že kampaň sa spolieha na stratégie sociálneho inžinierstva podobné technike ClickFix, aby presvedčila obete, aby si stiahli ZIP archív obsahujúci užitočné zaťaženie.
Vykonanie sa začína skriptom PowerShell, ktorý načíta a spustí škodlivé komponenty. Pred začatím akejkoľvek škodlivej aktivity vykoná knižnica DLL rozsiahlu sadu obranných opatrení:
- Kontroly proti sandboxu
- Nepriame systémové volania na obídenie bezpečnostného monitorovania
- Techniky obídenia ETW (sledovanie udalostí pre Windows)
- Mechanizmy obchádzania rozhrania AMSI (Antimalware Scan Interface)
- Ďalšie antianalytické rutiny tvoriace celkovo deväť stratégií úniku
Po úspešnom absolvovaní týchto kontrol malvér načíta konfiguračné údaje z cloudového zdroja uloženého v infraštruktúre Google Cloud. Následne nainštaluje naplánovanú úlohu pre trvalé uloženie a vytvorí WebSocket pripojenie so svojím veliteľským a riadiacim serverom.
Cielené únosy skratiek proti bankovému softvéru Itaú
Škodlivá knižnica DLL obsahuje aj dva vložené skripty napísané v jazyku Visual Basic Script. Tieto skripty implementujú cielenú operáciu únosu skratiek zameranú konkrétne na desktopovú aplikáciu Itaú Unibanco.
Mechanizmus nahrádza legitímne systémové skratky manipulovanými verziami, ktoré presmerujú obete na webové stránky ovládané útočníkom, ktoré sú určené na získanie citlivých finančných údajov. Tento cielený prístup naznačuje silné zameranie na bankové platformy s vysokou hodnotou v Brazílii.
Je zaujímavé, že malvér obsahuje funkciu odinštalovania, ktorá dokáže obnoviť pôvodné skratky. Táto funkcia znamená vzdialenú kontrolu operátorom a umožňuje útočníkom odstrániť dôkazy o kompromitácii po dokončení operácie.
Široké finančné cielenie a stratégia krádeže poverení
Škodlivý softvér VENON je navrhnutý tak, aby monitoroval aktívne názvy okien aj domény prehliadača, čo mu umožňuje zistiť, kedy používatelia pristupujú k finančným službám. Malvér je nakonfigurovaný tak, aby rozpoznával aktivitu zahŕňajúcu 33 finančných inštitúcií a platforiem digitálnych aktív.
Po detekcii cieľovej aplikácie alebo webovej stránky malvér nasadí podvodné prekrývajúce obrazovky, ktoré napodobňujú legitímne prihlasovacie rozhrania. Obete, ktoré interagujú s týmito prekrytiami, nevedomky odosielajú svoje prihlasovacie údaje priamo útočníkom, čo umožňuje prevzatie kontroly nad účtom a krádež finančných prostriedkov.
