VENON Bankacılık Kötü Amaçlı Yazılımı

Siber güvenlik araştırmacıları, Brezilya'daki kullanıcıları hedef alan yeni bir bankacılık kötü amaçlı yazılım kampanyasını ortaya çıkardı. VENON adı verilen bu kötü amaçlı yazılım, geleneksel olarak kullanılan Delphi yerine Rust programlama dilinde yazılmış olması nedeniyle bölgesel siber suç ekosisteminde dikkat çekici bir değişime işaret ediyor.

Geliştirme yaklaşımındaki bu değişiklik, tarihsel olarak Delphi tabanlı çerçevelere dayanan Latin Amerika bankacılık kötü amaçlı yazılımlarında önemli bir evrimi temsil etmektedir. VENON özellikle Windows ortamlarını hedef almaktadır ve ilk olarak Şubat 2026'da keşfedilmiştir.

Yerleşik Bankacılık Truva Atlarıyla Davranışsal Benzerlikler

Modern uygulama diline rağmen, VENON, Grandoreiro, Mekotio ve Coyote gibi iyi bilinen Latin Amerika bankacılık truva atlarıyla tutarlı operasyonel davranışlar sergiliyor.

Bu kötü amaçlı yazılım, bu tehditlerle genellikle ilişkilendirilen çeşitli yetenekleri bünyesinde barındırıyor:

• Meşru finansal arayüzleri taklit etmek üzere tasarlanmış bankacılık katmanı mantığı.
• Hedeflenen bankacılık uygulamalarını veya web sitelerini tespit etmek için aktif pencere izleme.
• Kısayol (LNK) ele geçirme mekanizmaları, kurbanları kötü amaçlı altyapılara yönlendirmek için kullanılır.

Bu benzerlikler, VENON'un bölgedeki mevcut bankacılık kötü amaçlı yazılım kampanyalarının kullandığı operasyonel kalıplara dair ayrıntılı bilgiyle tasarlandığını düşündürmektedir.

Yapay Zekanın Gelişimine Dair İpuçları ve Olası Kullanım Alanları

Kampanya henüz resmi olarak bilinen bir tehdit aktörüne veya siber suçlu grubuna atfedilmemiştir. Bununla birlikte, Ocak 2026 tarihli daha önceki bir sürümün adli analizi, geliştiricinin ortamına ait izlerin ikili dosyaya gömülü olduğunu ortaya koymuştur. Dosya yolları, C:\Users\byst4... gibi 'byst4' etiketli bir Windows kullanıcı profiline tekrar tekrar atıfta bulunarak, tehdit aktörünün geliştirme kurulumuna dair potansiyel bir fikir vermektedir.

Kod analizi, Latin Amerika bankacılık kötü amaçlı yazılım tekniklerine zaten aşina olan geliştiricilerle tutarlı bir yapıyı daha da ortaya koymaktadır. Aynı zamanda, kod tabanı, daha önce oluşturulmuş yetenekleri Rust'a yeniden yapılandırmak veya genişletmek için üretken yapay zeka araçlarının olası kullanımını da düşündürmektedir. Bu tür bir işlevselliği Rust'ta uygulamak, projenin ardındaki karmaşıklığı vurgulayan önemli teknik uzmanlık gerektirir.

Çok Aşamalı Enfeksiyon Zinciri ve Kaçınma Taktikleri

VENON, nihayetinde DLL yan yüklemesi yoluyla kötü amaçlı bir dinamik bağlantı kütüphanesini çalıştıran, dikkatlice yapılandırılmış bir enfeksiyon zinciri aracılığıyla yayılır. Kampanyanın, kurbanları zararlı yazılımı içeren bir ZIP arşivini indirmeye ikna etmek için ClickFix tekniğine benzer sosyal mühendislik stratejilerine dayandığı düşünülmektedir.

İşlem, zararlı bileşenleri alıp çalıştıran bir PowerShell betiğiyle başlar. Herhangi bir zararlı faaliyete başlamadan önce, DLL kapsamlı bir dizi savunma önlemi uygular:

• Sandbox karşıtı kontroller
• Güvenlik izlemesini atlatmak için dolaylı sistem çağrıları
• ETW (Windows için Olay İzleme) atlatma teknikleri
• AMSI (Antimalware Scan Interface) atlatma mekanizmaları
• Toplam dokuz kaçınma stratejisi oluşturan ek analiz karşıtı rutinler.

Bu kontrollerden geçtikten sonra, kötü amaçlı yazılım Google Cloud altyapısında depolanan bulut tabanlı bir kaynaktan yapılandırma verilerini alır. Ardından kalıcılık için zamanlanmış bir görev yükler ve komuta ve kontrol sunucusuyla bir WebSocket bağlantısı kurar.

Itaú Bankacılık Yazılımına Yönelik Hedefli Kısayol Ele Geçirme Saldırısı

Zararlı DLL dosyası ayrıca Visual Basic Script ile yazılmış iki gömülü komut dosyası da içermektedir. Bu komut dosyaları, özellikle Itaú Unibanco masaüstü uygulamasını hedef alan bir kısayol ele geçirme işlemi gerçekleştirmektedir.

Bu mekanizma, meşru sistem kısayollarını, kurbanları hassas finansal bilgileri ele geçirmek üzere tasarlanmış, saldırgan kontrolündeki web sayfalarına yönlendiren manipüle edilmiş sürümlerle değiştiriyor. Bu hedefli yaklaşım, Brezilya'daki yüksek değerli bankacılık platformlarına güçlü bir odaklanmayı gösteriyor.

İlginç bir şekilde, kötü amaçlı yazılım, orijinal kısayolları geri yükleyebilen bir kaldırma özelliğine de sahip. Bu işlevsellik, uzaktan operatör kontrolü anlamına gelir ve saldırganların bir işlem tamamlandıktan sonra ihlal kanıtlarını ortadan kaldırmasına olanak tanır.

Geniş Kapsamlı Finansal Hedefleme ve Kimlik Bilgisi Hırsızlığı Stratejisi

VENON, hem aktif pencere başlıklarını hem de tarayıcı alan adlarını izlemek üzere tasarlanmıştır ve bu sayede kullanıcıların finansal hizmetlere ne zaman eriştiğini tespit edebilmektedir. Kötü amaçlı yazılım, 33 finansal kurum ve dijital varlık platformuyla ilgili faaliyetleri tanıyacak şekilde yapılandırılmıştır.

Hedeflenen uygulama veya web sitesi tespit edildiğinde, kötü amaçlı yazılım meşru giriş arayüzlerini taklit eden sahte yer paylaşım ekranları yerleştirir. Bu yer paylaşımlarıyla etkileşim kuran kurbanlar, farkında olmadan kimlik bilgilerini doğrudan saldırganlara ileterek hesap ele geçirilmesine ve finansal hırsızlığa olanak tanır.