Malware sa Pagbabangko ng VENON

Natuklasan ng mga mananaliksik sa cybersecurity ang isang bagong kampanya ng malware sa pagbabangko na tumatarget sa mga gumagamit sa Brazil. Ang malware, na pinangalanang VENON, ay nagmamarka ng isang kapansin-pansing pagbabago sa rehiyonal na ecosystem ng cybercrime dahil nakasulat ito sa wikang programming na Rust sa halip na ang tradisyonal na ginagamit na Delphi.

Ang pagbabagong ito sa pamamaraan ng pag-develop ay kumakatawan sa isang makabuluhang ebolusyon sa Latin American banking malware, na dating umaasa sa mga framework na nakabatay sa Delphi. Partikular na tinatarget ng VENON ang mga kapaligirang Windows at unang natuklasan noong Pebrero 2026.

Mga Pagkakatulad ng Pag-uugali sa mga Itinatag na Trojan sa Pagbabangko

Sa kabila ng modernong wika ng pagpapatupad nito, ang VENON ay nagpapakita ng mga pag-uugali sa pagpapatakbo na naaayon sa mga kilalang trojan sa pagbabangko sa Latin America tulad ng Grandoreiro, Mekotio, at Coyote.

Pinagsasama ng malware ang ilang kakayahan na karaniwang nauugnay sa mga banta na ito:

• Lohika ng overlay ng pagbabangko na idinisenyo upang gayahin ang mga lehitimong interface sa pananalapi
• Aktibong pagsubaybay sa bintana upang matukoy ang mga naka-target na aplikasyon o website ng pagbabangko
• Mga mekanismo ng pag-hijack ng Shortcut (LNK) upang i-redirect ang mga biktima patungo sa malisyosong imprastraktura

Ang mga pagkakatulad na ito ay nagmumungkahi na ang VENON ay dinisenyo nang may detalyadong kaalaman sa mga padron ng operasyon na ginagamit ng mga umiiral na kampanya laban sa malware sa pagbabangko sa rehiyon.

Mga Pahiwatig sa Pag-unlad at Posibleng Paggamit ng Generative AI

Ang kampanya ay hindi pa pormal na maiuugnay sa isang kilalang threat actor o cybercriminal group. Gayunpaman, ang forensic analysis ng isang naunang build mula Enero 2026 ay nagsiwalat ng mga bakas ng kapaligiran ng developer na naka-embed sa binary. Ang mga path ng file ay paulit-ulit na tumutukoy sa isang Windows user profile na may label na 'byst4', tulad ng C:\Users\byst4..., na nagpapahiwatig ng potensyal na insight sa setup ng pag-develop ng threat actor.

Ang pagsusuri ng code ay nagpapakita rin ng isang istrukturang naaayon sa mga developer na pamilyar na sa mga pamamaraan ng malware sa pagbabangko sa Latin America. Kasabay nito, iminumungkahi ng codebase ang posibleng paggamit ng mga generative AI tool upang muling i-factor o palawakin ang mga dating naitatag na kakayahan sa Rust. Ang pagpapatupad ng naturang functionality sa Rust ay nangangailangan ng malaking teknikal na kadalubhasaan, na nagpapakita ng sopistikasyon sa likod ng proyekto.

Multi-Stage Infection Chain at mga Taktika sa Pag-iwas

Ang VENON ay inihahatid sa pamamagitan ng isang maingat na nakabalangkas na kadena ng impeksyon na sa huli ay nagsasagawa ng isang malisyosong dynamic link library sa pamamagitan ng DLL side-loading. Pinaniniwalaang umaasa ang kampanya sa mga estratehiyang social-engineering na katulad ng pamamaraan ng ClickFix upang kumbinsihin ang mga biktima na mag-download ng ZIP archive na naglalaman ng payload.

Nagsisimula ang pagpapatupad sa isang PowerShell script na kumukuha at naglulunsad ng mga malisyosong bahagi. Bago simulan ang anumang malisyosong aktibidad, nagsasagawa ang DLL ng malawak na hanay ng mga hakbang sa pagtatanggol na pag-iwas:

• Mga pagsusuri laban sa sandbox
• Mga hindi direktang tawag ng sistema upang malampasan ang pagsubaybay sa seguridad
• Mga pamamaraan ng pag-bypass ng ETW (Event Tracing for Windows)
• Mga mekanismo ng pag-bypass ng AMSI (Antimalware Scan Interface)
• Karagdagang mga gawain laban sa pagsusuri na bumubuo ng kabuuang siyam na estratehiya sa pag-iwas

Matapos maipasa ang mga pagsusuring ito, kinukuha ng malware ang data ng configuration mula sa isang cloud-hosted resource na nakaimbak sa Google Cloud infrastructure. Pagkatapos ay nag-i-install ito ng naka-iskedyul na gawain para sa persistence at nagtatatag ng koneksyon sa WebSocket gamit ang command-and-control server nito.

Naka-target na Shortcut Hijacking Laban sa Itaú Banking Software

Ang malisyosong DLL ay naglalaman din ng dalawang naka-embed na script na nakasulat sa Visual Basic Script. Ang mga script na ito ay nagpapatupad ng isang naka-target na shortcut hijacking operation na partikular na naglalayong sa desktop application ng Itaú Unibanco.

Pinapalitan ng mekanismo ang mga lehitimong shortcut ng sistema ng mga manipuladong bersyon na nagre-redirect sa mga biktima sa mga web page na kontrolado ng mga umaatake na idinisenyo upang makuha ang mga sensitibong kredensyal sa pananalapi. Ang naka-target na pamamaraang ito ay nagpapahiwatig ng isang malakas na pagtuon sa mga high-value banking platform sa loob ng Brazil.

Kapansin-pansin, ang malware ay may kasamang kakayahang mag-uninstall na maaaring ibalik ang mga orihinal na shortcut. Ang functionality na ito ay nagpapahiwatig ng remote operator control at nagbibigay-daan sa mga attacker na alisin ang ebidensya ng kompromiso kapag nakumpleto na ang isang operasyon.

Malawak na Pag-target sa Pananalapi at Istratehiya sa Pagnanakaw ng Kredensyal

Ang VENON ay dinisenyo upang subaybayan ang parehong aktibong window title at browser domain, na nagbibigay-daan dito upang matukoy kung kailan ina-access ng mga user ang mga serbisyong pinansyal. Ang malware ay naka-configure upang kilalanin ang aktibidad na kinasasangkutan ng 33 institusyong pinansyal at mga digital asset platform.

Kapag natukoy ang isang naka-target na application o website, nagde-deploy ang malware ng mga mapanlinlang na overlay screen na ginagaya ang mga lehitimong login interface. Hindi namamalayang isinusumite ng mga biktimang nakikipag-ugnayan sa mga overlay na ito ang kanilang mga kredensyal nang direkta sa mga umaatake, na nagiging sanhi ng pagkuha ng account at pagnanakaw sa pananalapi.