Zlonamerna programska oprema za bančništvo VENON

Raziskovalci kibernetske varnosti so odkrili novo kampanjo zlonamerne programske opreme za bančništvo, ki cilja na uporabnike v Braziliji. Zlonamerna programska oprema z imenom VENON pomeni opazen premik v regionalnem ekosistemu kibernetske kriminalitete, saj je napisana v programskem jeziku Rust in ne v tradicionalno uporabljenem Delphi.

Ta sprememba v razvojnem pristopu predstavlja pomemben razvoj latinskoameriške bančne zlonamerne programske opreme, ki se je v preteklosti zanašala na ogrodja, ki temeljijo na Delphiju. VENON je posebej namenjen okoljem Windows in je bil prvič odkrit februarja 2026.

Vedenjske vzporednice z uveljavljenimi bančnimi trojanci

Kljub sodobnemu implementacijskemu jeziku VENON kaže operativno vedenje, ki je skladno z znanimi latinskoameriškimi bančnimi trojanci, kot so Grandoreiro, Mekotio in Coyote.

Zlonamerna programska oprema združuje več zmogljivosti, ki so običajno povezane s temi grožnjami:

• Logika bančnega prekrivanja, zasnovana za poosebljanje legitimnih finančnih vmesnikov
• Aktivno spremljanje oken za zaznavanje ciljnih bančnih aplikacij ali spletnih mest
• Mehanizmi ugrabitve bližnjic (LNK) za preusmeritev žrtev proti zlonamerni infrastrukturi

Te podobnosti kažejo, da je bil VENON zasnovan s podrobnim poznavanjem operativnih vzorcev, ki jih uporabljajo obstoječe kampanje zlonamerne programske opreme za bančništvo v regiji.

Razvojni namigi in možna uporaba generativne umetne inteligence

Kampanja še ni bila uradno pripisana znanemu akterju grožnje ali skupini kibernetskih kriminalcev. Vendar pa je forenzična analiza starejše gradnje iz januarja 2026 razkrila sledi razvijalčevega okolja, vdelanega v binarno datoteko. Poti datotek se večkrat sklicujejo na uporabniški profil sistema Windows z oznako »byst4«, na primer C:\Users\byst4..., kar kaže na morebiten vpogled v razvojno nastavitev akterja grožnje.

Analiza kode nadalje kaže na strukturo, ki je skladna z razvijalci, ki so že seznanjeni s tehnikami zlonamerne programske opreme za latinskoameriške bančne sisteme. Hkrati kodna baza nakazuje možno uporabo generativnih orodij umetne inteligence za preoblikovanje ali razširitev že vzpostavljenih zmogljivosti v Rust. Izvedba takšne funkcionalnosti v Rustu zahteva znatno tehnično znanje, kar poudarja sofisticiranost projekta.

Večstopenjska veriga okužb in taktike izogibanja

VENON se širi prek skrbno strukturirane verige okužb, ki na koncu izvede zlonamerno dinamično knjižnico povezav s stranskim nalaganjem DLL. Domneva se, da se kampanja zanaša na strategije socialnega inženiringa, podobne tehniki ClickFix, da bi žrtve prepričala, da prenesejo ZIP arhiv s koristnim tovorom.

Izvajanje se začne s skriptom PowerShell, ki pridobi in zažene zlonamerne komponente. Preden začne kakršno koli zlonamerno dejavnost, DLL izvede obsežen nabor obrambnih ukrepov za izogibanje:

• Preverjanja proti peskovniku
• Posredni sistemski klici za obhod varnostnega nadzora
• Tehnike obhoda ETW (sledenje dogodkom za Windows)
• Mehanizmi za obhod AMSI (vmesnik za skeniranje proti zlonamerni programski opremi)
• Dodatne antianalitske rutine, ki skupaj tvorijo devet strategij izogibanja

Po uspešno opravljenih preverjanjih zlonamerna programska oprema pridobi konfiguracijske podatke iz vira, ki gostuje v oblaku in je shranjen v infrastrukturi Google Cloud. Nato namesti načrtovano opravilo za trajno shranjevanje in vzpostavi povezavo WebSocket s svojim strežnikom za upravljanje in nadzor.

Ciljno usmerjena ugrabitev bližnjic proti bančni programski opremi Itaú

Zlonamerna knjižnica DLL vsebuje tudi dva vdelana skripta, napisana v jeziku Visual Basic Script. Ta skripta izvajata ciljno operacijo ugrabitve bližnjic, namenjeno posebej namizni aplikaciji Itaú Unibanco.

Mehanizem nadomešča legitimne sistemske bližnjice z manipuliranimi različicami, ki žrtve preusmerjajo na spletne strani, ki jih nadzorujejo napadalci in so namenjene pridobivanju občutljivih finančnih podatkov. Ta ciljno usmerjen pristop kaže na močno osredotočenost na visokovrednejše bančne platforme v Braziliji.

Zanimivo je, da zlonamerna programska oprema vključuje možnost odstranitve, ki lahko obnovi prvotne bližnjice. Ta funkcionalnost pomeni oddaljeni nadzor operaterja in napadalcem omogoča, da odstranijo dokaze o ogrožanju, ko je operacija končana.

Strategija širokega finančnega ciljanja in kraje poverilnic

VENON je zasnovan za spremljanje tako aktivnih naslovov oken kot domen brskalnika, kar mu omogoča zaznavanje dostopa uporabnikov do finančnih storitev. Zlonamerna programska oprema je konfigurirana za prepoznavanje dejavnosti, ki vključujejo 33 finančnih institucij in platform za digitalna sredstva.

Ko je zaznana ciljna aplikacija ali spletno mesto, zlonamerna programska oprema namesti goljufive prekrivne zaslone, ki posnemajo legitimne prijavne vmesnike. Žrtve, ki komunicirajo s temi prekrivnimi zasloni, nevede posredujejo svoje poverilnice neposredno napadalcem, kar omogoča prevzem računa in finančno krajo.