Phần mềm độc hại ngân hàng VENON

Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch phần mềm độc hại ngân hàng mới nhắm mục tiêu vào người dùng ở Brazil. Phần mềm độc hại này, có tên là VENON, đánh dấu một sự thay đổi đáng chú ý trong hệ sinh thái tội phạm mạng khu vực vì nó được viết bằng ngôn ngữ lập trình Rust thay vì Delphi, ngôn ngữ thường được sử dụng trước đây.

Sự thay đổi trong phương pháp phát triển này thể hiện một bước tiến đáng kể trong lĩnh vực phần mềm độc hại ngân hàng ở Mỹ Latinh, vốn trước đây chủ yếu dựa vào các framework dựa trên Delphi. VENON nhắm mục tiêu cụ thể vào môi trường Windows và được phát hiện lần đầu vào tháng 2 năm 2026.

Sự tương đồng về hành vi với các phần mềm độc hại ngân hàng đã được biết đến.

Mặc dù sử dụng ngôn ngữ lập trình hiện đại, VENON vẫn thể hiện các hành vi hoạt động nhất quán với các phần mềm độc hại ngân hàng nổi tiếng ở Mỹ Latinh như Grandoreiro, Mekotio và Coyote.

Phần mềm độc hại này tích hợp một số khả năng thường thấy ở các mối đe dọa loại này:

• Logic lớp phủ ngân hàng được thiết kế để giả mạo các giao diện tài chính hợp pháp.
• Giám sát cửa sổ chủ động để phát hiện các ứng dụng hoặc trang web ngân hàng mục tiêu.
• Cơ chế chiếm quyền điều khiển đường dẫn tắt (LNK) nhằm chuyển hướng nạn nhân đến cơ sở hạ tầng độc hại.

Những điểm tương đồng này cho thấy VENON được thiết kế dựa trên sự hiểu biết chi tiết về các mô hình hoạt động được sử dụng bởi các chiến dịch phần mềm độc hại ngân hàng hiện có trong khu vực.

Những manh mối về sự phát triển và khả năng ứng dụng của trí tuệ nhân tạo tạo sinh

Chiến dịch này vẫn chưa được chính thức quy cho một tác nhân đe dọa hoặc nhóm tội phạm mạng nào đã biết. Tuy nhiên, phân tích pháp y một bản dựng trước đó từ tháng 1 năm 2026 đã tiết lộ dấu vết của môi trường phát triển được nhúng trong tệp nhị phân. Các đường dẫn tệp liên tục tham chiếu đến một hồ sơ người dùng Windows có tên 'byst4', chẳng hạn như C:\Users\byst4..., cho thấy khả năng nắm bắt được thiết lập phát triển của tác nhân đe dọa.

Phân tích mã nguồn cho thấy cấu trúc này phù hợp với các nhà phát triển đã quen thuộc với các kỹ thuật phần mềm độc hại ngân hàng ở Mỹ Latinh. Đồng thời, mã nguồn cũng gợi ý khả năng sử dụng các công cụ trí tuệ nhân tạo tạo sinh để tái cấu trúc hoặc mở rộng các khả năng đã được thiết lập trước đó vào ngôn ngữ Rust. Việc triển khai chức năng như vậy trong Rust đòi hỏi chuyên môn kỹ thuật đáng kể, cho thấy sự phức tạp của dự án.

Chuỗi lây nhiễm nhiều giai đoạn và chiến thuật né tránh

VENON được phát tán thông qua một chuỗi lây nhiễm được cấu trúc cẩn thận, cuối cùng thực thi một thư viện liên kết động độc hại thông qua việc tải DLL từ bên ngoài. Chiến dịch này được cho là dựa vào các chiến lược kỹ thuật xã hội tương tự như kỹ thuật ClickFix để thuyết phục nạn nhân tải xuống tệp lưu trữ ZIP chứa phần mềm độc hại.

Quá trình thực thi bắt đầu bằng một kịch bản PowerShell để tải xuống và khởi chạy các thành phần độc hại. Trước khi bắt đầu bất kỳ hoạt động độc hại nào, DLL thực hiện một loạt các biện pháp né tránh phòng thủ:

• Kiểm tra chống hộp cát
• Các cuộc gọi hệ thống gián tiếp nhằm bỏ qua việc giám sát an ninh.
• Các kỹ thuật vượt qua ETW (Event Tracing for Windows)
• Cơ chế vượt qua AMSI (Giao diện quét phần mềm chống độc hại)
• Các quy trình chống phân tích bổ sung tạo thành tổng cộng chín chiến lược né tránh.

Sau khi vượt qua các bước kiểm tra này, phần mềm độc hại sẽ truy xuất dữ liệu cấu hình từ một tài nguyên được lưu trữ trên cơ sở hạ tầng đám mây của Google Cloud. Sau đó, nó cài đặt một tác vụ theo lịch trình để duy trì hoạt động và thiết lập kết nối WebSocket với máy chủ điều khiển của nó.

Tấn công chiếm quyền điều khiển lối tắt có chủ đích nhằm vào phần mềm ngân hàng Itaú

Tệp DLL độc hại này cũng chứa hai đoạn mã nhúng được viết bằng Visual Basic Script. Các đoạn mã này thực hiện một thao tác chiếm quyền điều khiển lối tắt có chủ đích, nhắm cụ thể vào ứng dụng máy tính để bàn của Itaú Unibanco.

Cơ chế này thay thế các lối tắt hệ thống hợp pháp bằng các phiên bản bị thao túng, chuyển hướng nạn nhân đến các trang web do kẻ tấn công kiểm soát, được thiết kế để đánh cắp thông tin tài chính nhạy cảm. Cách tiếp cận có mục tiêu này cho thấy sự tập trung mạnh mẽ vào các nền tảng ngân hàng có giá trị cao tại Brazil.

Điều thú vị là, phần mềm độc hại này bao gồm khả năng gỡ cài đặt có thể khôi phục các phím tắt ban đầu. Chức năng này ngụ ý khả năng điều khiển từ xa và cho phép kẻ tấn công xóa bỏ bằng chứng về sự xâm nhập sau khi thao tác hoàn tất.

Chiến lược nhắm mục tiêu tài chính quy mô lớn và đánh cắp thông tin đăng nhập

VENON được thiết kế để giám sát cả tiêu đề cửa sổ đang hoạt động và tên miền trình duyệt, cho phép nó phát hiện khi người dùng truy cập các dịch vụ tài chính. Phần mềm độc hại này được cấu hình để nhận diện hoạt động liên quan đến 33 tổ chức tài chính và nền tảng tài sản kỹ thuật số.

Khi phát hiện ứng dụng hoặc trang web mục tiêu, phần mềm độc hại sẽ triển khai các màn hình lớp phủ giả mạo, bắt chước giao diện đăng nhập hợp pháp. Nạn nhân tương tác với các lớp phủ này vô tình cung cấp thông tin đăng nhập của mình trực tiếp cho kẻ tấn công, cho phép chiếm đoạt tài khoản và đánh cắp tiền.