Банківське шкідливе програмне забезпечення VENON
Дослідники з кібербезпеки виявили нову кампанію банківського шкідливого програмного забезпечення, спрямовану на користувачів у Бразилії. Шкідливе програмне забезпечення під назвою VENON знаменує собою помітний зсув у регіональній екосистемі кіберзлочинності, оскільки воно написано мовою програмування Rust, а не традиційно використовуваною Delphi.
Ця зміна підходу до розробки являє собою значну еволюцію банківського шкідливого програмного забезпечення в Латинській Америці, яке історично спиралося на фреймворки на основі Delphi. VENON спеціально націлений на середовища Windows і був вперше виявлений у лютому 2026 року.
Зміст
Поведінкові паралелі з усталеними банківськими троянами
Незважаючи на сучасну мову реалізації, VENON демонструє операційну поведінку, що відповідає відомим латиноамериканським банківським троянам, таким як Grandoreiro, Mekotio та Coyote.
Це шкідливе програмне забезпечення поєднує кілька можливостей, які зазвичай пов'язані з цими загрозами:
- Логіка банківського накладання, розроблена для імітації легітимних фінансових інтерфейсів
- Активний моніторинг вікон для виявлення цільових банківських програм або вебсайтів
- Механізми захоплення ярликів (LNK) для перенаправлення жертв до шкідливої інфраструктури
Ці подібності свідчать про те, що VENON був розроблений з детальним знанням операційних моделей, що використовуються існуючими кампаніями банківського шкідливого програмного забезпечення в регіоні.
Підказки щодо розробки та можливе використання генеративного штучного інтелекту
Кампанія ще офіційно не пов'язана з відомим зловмисником чи кіберзлочинною групою. Однак, судово-медичний аналіз попередньої збірки від січня 2026 року виявив сліди середовища розробника, вбудовані у двійковий файл. Шляхи до файлів неодноразово посилаються на профіль користувача Windows з позначкою «byst4», наприклад, C:\Users\byst4..., що вказує на потенційне розуміння налаштувань розробки зловмисника.
Аналіз коду також вказує на структуру, що відповідає розробникам, які вже знайомі з методами шкідливого програмного забезпечення для банківських систем Латинської Америки. Водночас кодова база передбачає можливе використання інструментів генеративного штучного інтелекту для рефакторингу або розширення раніше встановлених можливостей у Rust. Реалізація такої функціональності в Rust вимагає значних технічних знань, що підкреслює складність проекту.
Багатоетапний ланцюг зараження та тактика ухилення
VENON поширюється через ретельно структурований ланцюжок зараження, який зрештою запускає шкідливу бібліотеку динамічного компонування шляхом завантаження DLL. Вважається, що кампанія спирається на стратегії соціальної інженерії, подібні до техніки ClickFix, щоб переконати жертв завантажити ZIP-архів, що містить корисне навантаження.
Виконання починається зі скрипта PowerShell, який отримує та запускає шкідливі компоненти. Перш ніж розпочати будь-яку шкідливу діяльність, DLL виконує широкий набір захисних заходів уникнення:
- Перевірки на наявність пісочниці
- Непрямі системні виклики для обходу моніторингу безпеки
- Методи обходу ETW (трасування подій для Windows)
- Механізми обходу AMSI (інтерфейс сканування антивірусних програм)
- Додаткові процедури антианалізу, що утворюють загалом дев'ять стратегій ухилення
Після проходження цих перевірок шкідливе програмне забезпечення отримує дані конфігурації з хмарного ресурсу, що зберігається в інфраструктурі Google Cloud. Потім воно встановлює заплановане завдання для постійного зберігання та встановлює WebSocket-з’єднання зі своїм командно-контрольним сервером.
Цільовий викрадення швидких команд банківського програмного забезпечення Itaú
Шкідлива DLL-бібліотека також містить два вбудовані скрипти, написані мовою Visual Basic Script. Ці скрипти реалізують цільову операцію захоплення ярликів, спрямовану саме на настільну програму Itaú Unibanco.
Механізм замінює легітимні системні ярлики маніпульованими версіями, які перенаправляють жертв на контрольовані зловмисниками веб-сторінки, призначені для збору конфіденційних фінансових даних. Такий цілеспрямований підхід свідчить про сильну увагу до високоцінних банківських платформ у Бразилії.
Цікаво, що шкідливе програмне забезпечення містить функцію видалення, яка може відновити оригінальні ярлики. Ця функціональність передбачає віддалене керування оператором і дозволяє зловмисникам видаляти докази компрометації після завершення операції.
Широкий фінансовий таргетинг та стратегія крадіжки облікових даних
VENON розроблено для моніторингу як заголовків активних вікон, так і доменів браузера, що дозволяє йому виявляти, коли користувачі отримують доступ до фінансових послуг. Шкідливе програмне забезпечення налаштоване на розпізнавання активності, що стосується 33 фінансових установ та платформ цифрових активів.
Після виявлення цільової програми або веб-сайту шкідливе програмне забезпечення розгортає шахрайські накладки на екрани, що імітують легітимні інтерфейси входу. Жертви, взаємодіючи з цими накладками, несвідомо надають свої облікові дані безпосередньо зловмисникам, що дозволяє захопити обліковий запис та здійснити фінансову крадіжку.
