VENON банкарски злонамерни софтвер
Истраживачи сајбер безбедности открили су нову кампању банкарског малвера усмерену на кориснике у Бразилу. Малвер, назван VENON, означава значајан помак у регионалном екосистему сајбер криминала јер је написан у програмском језику Rust уместо у традиционално коришћеном Delphi.
Ова промена у приступу развоју представља значајну еволуцију латиноамеричког банкарског малвера, који се историјски ослањао на оквире засноване на Делфију. VENON је посебно усмерен на Windows окружења и првобитно је откривен у фебруару 2026. године.
Преглед садржаја
Паралеле у понашању са успостављеним банкарским тројанцима
Упркос свом модерном језику имплементације, VENON показује оперативно понашање у складу са познатим латиноамеричким банкарским тројанцима као што су Grandoreiro, Mekotio и Coyote.
Злонамерни софтвер интегрише неколико могућности које су типичне за ове претње:
- Логика банкарског преклапања дизајнирана да опонаша легитимне финансијске интерфејсе
- Активно праћење прозора за откривање циљаних банкарских апликација или веб локација
- Механизми отмице пречица (LNK) за преусмеравање жртава ка злонамерној инфраструктури
Ове сличности указују на то да је VENON пројектован са детаљним познавањем оперативних образаца које користе постојеће кампање злонамерног софтвера за банке у региону.
Трагови развоја и могућа употреба генеративне вештачке интелигенције
Кампања још увек није формално приписана познатом претњи или сајбер криминалној групи. Међутим, форензичка анализа раније верзије из јануара 2026. године открила је трагове програмерског окружења уграђене у бинарну датотеку. Путање датотека више пута позивају на Windows кориснички профил означен са „byst4“, као што је C:\Users\byst4..., што указује на потенцијални увид у развојну поставку претње.
Анализа кода даље указује на структуру која је у складу са програмерима који су већ упознати са техникама малвера у банкарству Латинске Америке. Истовремено, база кода сугерише могућу употребу генеративних алата вештачке интелигенције за рефакторисање или проширење претходно успостављених могућности у Руст. Имплементација такве функционалности у Русту захтева значајно техничко знање, што истиче софистицираност која стоји иза пројекта.
Вишестепени ланац инфекције и тактике избегавања
VENON се испоручује кроз пажљиво структурирани ланац инфекције који на крају извршава злонамерну динамичку библиотеку линкова путем бочног учитавања DLL-а. Верује се да се кампања ослања на стратегије социјалног инжењеринга сличне техници ClickFix како би убедила жртве да преузму ZIP архиву која садржи корисни терет.
Извршавање почиње PowerShell скриптом која преузима и покреће злонамерне компоненте. Пре него што започне било какву злонамерну активност, DLL извршава опсежан скуп одбрамбених мера за избегавање:
- Провере против песковите окружења
- Индиректни системски позиви за заобилажење безбедносног надзора
- Технике заобилажења ETW-а (праћење догађаја за Windows)
- Механизми заобилажења AMSI (интерфејс за скенирање антималвера)
- Додатне анти-аналитичке рутине које формирају укупно девет стратегија избегавања
Након што прође ове провере, злонамерни софтвер преузима податке о конфигурацији из ресурса хостованог у облаку, који се чува на инфраструктури Google Cloud-а. Затим инсталира заказани задатак за трајно складиштење и успоставља WebSocket везу са својим командно-контролним сервером.
Циљана крађа пречица против банкарског софтвера Itaú
Злонамерни DLL такође садржи два уграђена скрипта написана у Visual Basic Script-у. Ови скриптови имплементирају циљану операцију отмице пречица усмерену посебно на десктоп апликацију Itaú Unibanco.
Механизам замењује легитимне системске пречице манипулисаним верзијама које преусмеравају жртве на веб странице које контролишу нападачи, а које су дизајниране да прикупе осетљиве финансијске податке. Овај циљани приступ указује на снажан фокус на банкарске платформе високе вредности у Бразилу.
Занимљиво је да злонамерни софтвер укључује могућност деинсталације која може да врати оригиналне пречице. Ова функционалност подразумева даљинску контролу оператера и омогућава нападачима да уклоне доказе о компромитовању након што је операција завршена.
Широко финансијско циљање и стратегија крађе акредитива
ВЕНОН је пројектован да прати и наслове активних прозора и домене прегледача, што му омогућава да детектује када корисници приступају финансијским услугама. Злонамерни софтвер је конфигурисан да препозна активности које укључују 33 финансијске институције и платформе дигиталне имовине.
Када се открије циљана апликација или веб локација, злонамерни софтвер поставља лажне преклапајуће екране који имитирају легитимне интерфејсе за пријаву. Жртве које интерагују са овим преклапајућим екранима несвесно директно шаљу своје акредитиве нападачима, омогућавајући преузимање налога и финансијску крађу.
