VENON 银行恶意软件

通过Mezo在移动恶意软件, 银行木马

翻译为：

网络安全研究人员发现了一种针对巴西用户的新型银行恶意软件攻击活动。该恶意软件名为VENON，其使用Rust编程语言而非传统使用的Delphi编写，这标志着该地区网络犯罪生态系统发生了显著变化。

这种开发方式的转变标志着拉丁美洲银行业恶意软件发展的一个重大阶段，此前这类恶意软件一直依赖于基于 Delphi 的框架。VENON 专门针对 Windows 环境，最初于 2026 年 2 月被发现。

尽管 VENON 使用了现代实现语言，但其运行行为与 Grandoreiro、Mekotio 和 Coyote 等著名的拉丁美洲银行木马一致。

该恶意软件集成了通常与这些威胁相关的多种功能：

这些相似之处表明，VENON 的设计充分考虑了该地区现有银行恶意软件活动所使用的操作模式。

目前尚未正式确定此次攻击活动是由已知的威胁行为者或网络犯罪组织所为。然而，对2026年1月早期版本的取证分析显示，二进制文件中嵌入了开发者环境的痕迹。文件路径反复指向名为“byst4”的Windows用户配置文件，例如C:\Users\byst4...，这表明攻击者可能对其开发环境有所了解。

代码分析进一步表明，其结构与熟悉拉丁美洲银行恶意软件技术的开发者相符。同时，代码库也暗示可能使用了生成式人工智能工具，将已有的功能重构或扩展为 Rust 代码。在 Rust 中实现此类功能需要大量的技术专长，凸显了该项目的复杂性。

VENON病毒通过精心设计的感染链传播，最终通过DLL侧加载执行恶意动态链接库。据信，该攻击活动利用类似于ClickFix的社会工程学策略，诱骗受害者下载包含恶意载荷的ZIP压缩包。

执行过程首先通过 PowerShell 脚本检索并启动恶意组件。在启动任何恶意活动之前，DLL 会执行一系列全面的防御规避措施：

通过这些检查后，恶意软件会从存储在谷歌云基础设施上的云托管资源中检索配置数据。然后，它会安装一个用于持久化的计划任务，并与其命令与控制服务器建立 WebSocket 连接。

该恶意DLL还包含两个用Visual Basic脚本编写的嵌入式脚本。这些脚本实施了有针对性的快捷方式劫持操作，专门针对伊塔乌联合银行的桌面应用程序。

该机制会将合法的系统快捷方式替换为篡改后的版本，从而将受害者重定向到攻击者控制的网页，这些网页旨在窃取敏感的财务凭证。这种有针对性的攻击方式表明，攻击者高度关注巴西境内的高价值银行平台。

值得注意的是，该恶意软件包含一个卸载功能，可以恢复原始快捷方式。此功能意味着攻击者可以远程控制系统，并在操作完成后清除入侵痕迹。

VENON 旨在监控活动窗口标题和浏览器域名，从而检测用户何时访问金融服务。该恶意软件配置为识别涉及 33 家金融机构和数字资产平台的活动。

一旦检测到目标应用程序或网站，恶意软件就会部署模仿合法登录界面的欺诈性叠加屏幕。受害者在与这些叠加屏幕交互时，会在不知不觉中将凭据直接提交给攻击者，从而导致账户被盗用和财务损失。

搜索