VENON 銀行惡意軟體

行動惡意軟體, 銀行木馬年Mezo年

翻譯為：

網路安全研究人員發現了一種針對巴西用戶的新型銀行惡意軟體攻擊活動。該惡意軟體名為VENON，其使用Rust程式語言而非傳統使用的Delphi編寫，這標誌著該地區網路犯罪生態系統發生了顯著變化。

這種開發方式的轉變標誌著拉丁美洲銀行業惡意軟體發展的一個重大階段，此前這類惡意軟體一直依賴於基於 Delphi 的框架。 VENON 專門針對 Windows 環境，最初於 2026 年 2 月被發現。

儘管 VENON 使用了現代實現語言，但其運作行為與 Grandoreiro、Mekotio 和 Coyote 等著名的拉丁美洲銀行木馬一致。

該惡意軟體整合了通常與這些威脅相關的多種功能：

這些相似之處表明，VENON 的設計充分考慮了該地區現有銀行惡意軟體活動所使用的操作模式。

目前尚未正式確定此次攻擊活動是由已知的威脅行為者或網路犯罪組織所為。然而，對2026年1月早期版本的取證分析顯示，二進位檔案中嵌入了開發者環境的痕跡。文件路徑反覆指向名為「byst4」的Windows使用者設定文件，例如C:\Users\byst4...，這表示攻擊者可能對其開發環境有所了解。

程式碼分析進一步表明，其結構與熟悉拉丁美洲銀行惡意軟體技術的開發者相符。同時，程式碼庫也暗示可能使用了生成式人工智慧工具，將現有的功能重構或擴展為 Rust 程式碼。在 Rust 中實現此類功能需要大量的技術專長，凸顯了該專案的複雜性。

VENON病毒透過精心設計的感染鏈傳播，最終透過DLL側載入執行惡意動態連結程式庫。據信，該攻擊活動利用類似ClickFix的社會工程策略，誘騙受害者下載包含惡意負載的ZIP壓縮套件。

執行程序首先透過 PowerShell 腳本擷取並啟動惡意元件。在啟動任何惡意活動之前，DLL 會執行一系列全面的防禦規避措施：

通過這些檢查後，惡意軟體會從儲存在Google雲端基礎架構上的雲端託管資源中檢索設定資料。然後，它會安裝一個用於持久化的排程任務，並與其命令與控制伺服器建立 WebSocket 連線。

這個惡意DLL也包含兩個用Visual Basic腳本編寫的嵌入式腳本。這些腳本實施了有針對性的快捷方式劫持操作，專門針對伊塔烏聯合銀行的桌面應用程式。

該機制會將合法的系統捷徑替換為篡改後的版本，從而將受害者重新導向到攻擊者控制的網頁，這些網頁旨在竊取敏感的財務憑證。這種有針對性的攻擊方式表明，攻擊者高度關注巴西境內的高價值銀行平台。

值得注意的是，該惡意軟體包含一個卸載功能，可恢復原始捷徑。此功能意味著攻擊者可以遠端控制系統，並在操作完成後清除入侵痕跡。

VENON 旨在監控活動視窗標題和瀏覽器域名，從而偵測使用者何時存取金融服務。此惡意軟體配置為識別涉及 33 家金融機構和數位資產平台的活動。

一旦偵測到目標應用程式或網站，惡意軟體就會部署模仿合法登入介面的詐騙疊加畫面。受害者在與這些疊加螢幕互動時，會在不知不覺中將憑證直接提交給攻擊者，從而導致帳戶被盜用和財務損失。

搜索