Rabattoffert för flera licenser
Hotdatabas Mobil skadlig programvara VENON Banking Malware

VENON Banking Malware

Med Mezo år Mobil skadlig programvara, Banktrojan
Översätt till:

Cybersäkerhetsforskare har upptäckt en ny kampanj mot skadlig kod för banker som riktar sig mot användare i Brasilien. Skadlig kod, kallad VENON, markerar ett anmärkningsvärt skifte i det regionala ekosystemet för cyberbrottslighet eftersom den är skriven i programmeringsspråket Rust snarare än det traditionellt använda Delphi.

Denna förändring i utvecklingsmetoden representerar en betydande utveckling av latinamerikansk bankskadlig programvara, som historiskt sett har förlitat sig på Delphi-baserade ramverk. VENON riktar sig specifikt mot Windows-miljöer och upptäcktes ursprungligen i februari 2026.

Beteendemässiga paralleller med etablerade banktrojaner

Trots sitt moderna implementeringsspråk uppvisar VENON operativa beteenden som överensstämmer med välkända latinamerikanska banktrojaner som Grandoreiro, Mekotio och Coyote.

Den skadliga programvaran integrerar flera funktioner som vanligtvis förknippas med dessa hot:

  • Banköverlagringslogik utformad för att imitera legitima finansiella gränssnitt
  • Aktiv fönsterövervakning för att upptäcka riktade bankapplikationer eller webbplatser
  • Kapningsmekanismer för genvägar (LNK) för att omdirigera offer mot skadlig infrastruktur

Dessa likheter tyder på att VENON konstruerades med detaljerad kunskap om de operativa mönster som används av befintliga kampanjer mot skadlig kod i banksektorn i regionen.

Utvecklingsledtrådar och möjlig användning av generativ AI

Kampanjen har ännu inte formellt tillskrivits en känd hotaktör eller cyberkriminell grupp. Forensisk analys av en tidigare version från januari 2026 avslöjade dock spår av utvecklarens miljö inbäddade i binärfilen. Filsökvägar refererar upprepade gånger till en Windows-användarprofil märkt 'byst4', till exempel C:\Users\byst4..., vilket indikerar potentiell insikt i hotaktörens utvecklingsinställningar.

Kodanalys indikerar vidare en struktur som överensstämmer med utvecklare som redan är bekanta med latinamerikanska tekniker för bankskadlig kod. Samtidigt antyder kodbasen en möjlig användning av generativa AI-verktyg för att omstrukturera eller utöka tidigare etablerade funktioner i Rust. Implementeringen av sådan funktionalitet i Rust kräver betydande teknisk expertis, vilket belyser sofistikeringen bakom projektet.

Flerstegsinfektionskedja och undvikningstaktik

VENON levereras genom en noggrant strukturerad infektionskedja som i slutändan exekverar ett skadligt dynamiskt länkbibliotek genom sidladdning av DLL. Kampanjen tros förlita sig på social engineering-strategier liknande ClickFix-tekniken för att övertyga offren att ladda ner ett ZIP-arkiv som innehåller nyttolasten.

Exekveringen börjar med ett PowerShell-skript som hämtar och startar de skadliga komponenterna. Innan någon skadlig aktivitet initieras utför DLL:n en omfattande uppsättning defensiva undvikande åtgärder:

  • Anti-sandbox-kontroller
  • Indirekta systemanrop för att kringgå säkerhetsövervakning
  • ETW (Event Tracing for Windows) kringgåningstekniker
  • AMSI (Antimalware Scan Interface) kringgående mekanismer
  • Ytterligare antianalysrutiner som bildar totalt nio undvikande strategier

Efter att ha klarat dessa kontroller hämtar skadlig programvara konfigurationsdata från en molnbaserad resurs som lagras på Google Cloud-infrastrukturen. Den installerar sedan en schemalagd uppgift för beständighet och upprättar en WebSocket-anslutning med sin kommando- och kontrollserver.

Riktad genvägskapning mot Itaú-bankprogramvara

Den skadliga DLL-filen innehåller också två inbäddade skript skrivna i Visual Basic Script. Dessa skript implementerar en riktad kapningsoperation för genvägar specifikt riktad mot skrivbordsapplikationen i Itaú Unibanco.

Mekanismen ersätter legitima systemgenvägar med manipulerade versioner som omdirigerar offer till angriparkontrollerade webbsidor utformade för att fånga känsliga finansiella uppgifter. Denna riktade strategi indikerar ett starkt fokus på högvärdiga bankplattformar i Brasilien.

Intressant nog inkluderar den skadliga programvaran en avinstallationsfunktion som kan återställa de ursprungliga genvägarna. Denna funktion innebär fjärrkontroll och gör det möjligt för angripare att ta bort bevis på kompromettering när en operation är klar.

Bred strategi för finansiell inriktning och stöld av autentiseringsuppgifter

VENON är konstruerat för att övervaka både aktiva fönstertitlar och webbläsardomäner, vilket gör det möjligt att upptäcka när användare använder finansiella tjänster. Skadlig programvara är konfigurerad för att känna igen aktivitet som involverar 33 finansinstitut och digitala tillgångsplattformar.

När en riktad applikation eller webbplats upptäcks, distribuerar skadlig kod bedrägliga skärmdumpar som imiterar legitima inloggningsgränssnitt. Offer som interagerar med dessa skärmdumpar skickar omedvetet sina inloggningsuppgifter direkt till angriparna, vilket möjliggör kontoövertagande och ekonomisk stöld.

Trendigt

Mest sedda

Läser in...