Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một loại mã độc ngân hàng mới nhắm mục tiêu người dùng Brazil được viết bằng Rust, đánh dấu sự khác biệt đáng kể so với các họ mã độc dựa trên Delphi đã biết khác liên quan đến hệ sinh thái tội phạm mạng Mỹ Latinh.
Mã độc này, được thiết kế để lây nhiễm các hệ thống Windows và được phát hiện lần đầu vào tháng trước, đã được công ty an ninh mạng Brazil ZenoX đặt tên là VENON.
Điều khiến VENON đáng chú ý là nó chia sẻ các hành vi nhất quán với các banking trojan đã được thiết lập nhắm mục tiêu khu vực này, như Grandoreiro, Mekotio và Coyote, đặc biệt là các tính năng như logic overlay ngân hàng, giám sát cửa sổ hoạt động và cơ chế chiếm quyền điều khiển lối tắt (LNK).
Mã độc chưa được gán cho bất kỳ nhóm hoặc chiến dịch nào đã được ghi nhận trước đây. Tuy nhiên, một phiên bản cũ hơn của artifact, có từ tháng 1 năm 2026, đã được tìm thấy để lộ toàn bộ đường dẫn từ môi trường phát triển của tác giả mã độc. Các đường dẫn lặp đi lặp lại tham chiếu tên người dùng máy Windows "byst4" (ví dụ: "C:\Users\byst4\...").
"Cấu trúc mã Rust thể hiện các mẫu cho thấy một nhà phát triển quen thuộc với khả năng của các banking trojan Mỹ Latinh hiện có, nhưng đã sử dụng AI tạo sinh để viết lại và mở rộng các chức năng này trong Rust, một ngôn ngữ đòi hỏi kinh nghiệm kỹ thuật đáng kể để sử dụng ở mức độ phức tạp được quan sát," ZenoX cho biết.
VENON được phân phối thông qua một chuỗi lây nhiễm phức tạp sử dụng DLL side-loading để khởi chạy một DLL độc hại. Chiến dịch này bị nghi ngờ sử dụng các thủ đoạn kỹ thuật xã hội như ClickFix để lừa người dùng tải xuống một kho lưu trữ ZIP chứa các payload bằng một script PowerShell.
Sau khi DLL được thực thi, nó thực hiện chín kỹ thuật lẩn tránh, bao gồm các kiểm tra anti-sandbox, indirect syscalls, ETW bypass, AMSI bypass, trước khi thực sự khởi tạo bất kỳ hành động độc hại nào. Nó cũng kết nối với một URL Google Cloud Storage để lấy cấu hình, cài đặt một scheduled task và thiết lập kết nối WebSocket với máy chủ command-and-control (C2).
Ngoài ra, từ DLL còn được trích xuất hai khối Visual Basic Script thực hiện cơ chế chiếm quyền điều khiển lối tắt độc quyền nhắm mục tiêu ứng dụng ngân hàng Itaú. Các thành phần này hoạt động bằng cách thay thế các lối tắt hệ thống hợp pháp bằng các phiên bản đã bị sửa đổi, chuyển hướng nạn nhân đến một trang web do tác nhân đe dọa kiểm soát.
Cuộc tấn công cũng hỗ trợ một bước gỡ cài đặt để hoàn tác các sửa đổi, cho thấy rằng hoạt động này có thể được điều khiển từ xa bởi kẻ tấn công để khôi phục các lối tắt về trạng thái ban đầu nhằm che giấu dấu vết.
Tổng cộng, mã độc ngân hàng được trang bị để nhắm mục tiêu 33 tổ chức tài chính và nền tảng tài sản kỹ thuật số bằng cách giám sát tiêu đề cửa sổ và tên miền trình duyệt hoạt động, chỉ kích hoạt khi bất kỳ ứng dụng hoặc trang web mục tiêu nào được mở để tạo điều kiện đánh cắp thông tin đăng nhập bằng cách phục vụ các lớp phủ giả mạo.
Tiết lộ này diễn ra trong bối cảnh các chiến dịch mà tác nhân đe dọa đang khai thác sự phổ biến của WhatsApp ở Brazil để phân phối một worm có tên SORVEPOTEL thông qua phiên bản web dành cho máy tính để bàn của nền tảng nhắn tin. Cuộc tấn công dựa vào việc lạm dụng các cuộc trò chuyện đã được xác thực trước đó để gửi các mồi nhử độc hại trực tiếp đến nạn nhân, cuối cùng dẫn đến việc triển khai mã độc ngân hàng như Maverick, Casbaneiro hoặc Astaroth.
"Một tin nhắn WhatsApp duy nhất được gửi qua phiên chiếm quyền điều khiển của SORVEPOTEL đã đủ để kéo nạn nhân vào một chuỗi nhiều giai đoạn mà cuối cùng dẫn đến việc triển khai một implant Astaroth chạy hoàn toàn trong bộ nhớ," Blackpoint Cyber cho biết.
"Sự kết hợp giữa công cụ tự động hóa cục bộ, trình điều khiển trình duyệt không giám sát và các runtime có thể ghi của người dùng đã tạo ra một môi trường cho phép bất thường, cho phép cả worm và payload cuối cùng tự thiết lập với ma sát tối thiểu."
