Sicherheitsforscher haben eine neue Banken-Malware-Familie für Nutzer in Brasilien, die zum ersten Mal in diesem Ökosystem in Rust geschrieben wird. Die brasilianische Firma ZenoX war verantwortlich für die Analyse der Probe und gab ihm den Schlüsselnamen VENON; ihr Bericht betont, dass, obwohl die Sprache anders ist, das Verhalten des Codes Bank Stümpfe zurückgibt, die bereits in der Region bekannt sind, wie Grandoreiro, Mekotio oder Coyote, indem Logik der Fensterüberlappung, aktive Anwendungsüberwachung und eine Technik für den direkten Zugang zum System.
Was VENON besonders auffällig macht, ist nicht nur die Verwendung von Rust - eine moderne Sprache, die in dieser Art von Bedrohung nicht üblich ist -, sondern auch die Kombination von fortschrittlichen Entwicklungspraktiken und Anzeichen von Wiederverwendung oder Neubeschaffung durch künstliche Intelligenz-Tools unterstützt. ZenoX weist auf Muster in der Struktur des Codes hin, die darauf hindeuten, dass der Autor die Fähigkeiten der lateinamerikanischen Banken gut kennen und dass er die automatische Generierung von Code verwendet hätte, um diese Funktionen in Rust anzupassen und zu erweitern. Die vollständige Analyse ist im technischen Bericht von ZenoX verfügbar: https: / / zenox.ai / en / venon-the-first-brazilian-banker-rat-in-rust /.
Das entdeckte Binär umfasst auch Spuren der Entwicklungsmaschine selbst: Frühe Versionen setzen komplette Routen unter Windows aus, die wiederholte Bezugnahme auf den Benutzer "byst4" (z.B. "C:\\ Users\\ byst4\..."), ein forensisches Detail, das Analysten helfen kann, den Ursprung und die Evolution des schädlichen Projekts zu verstehen.
Die von Forschern beschriebene Infektionskette ist komplex und kombiniert Sozialtechnik mit Persistenztechniken. Es scheint, dass Angreifer verteilen ein ZIP mit einem PowerShell-Skript durch decoys als falsche "fix" Nachrichtendienste (ClickFix) und ausnutzen DLL-Seiten-loading, um eine bösartige Buchhandlung in das System laden. Vor der Durchführung von schädlichen Aktionen, führt die Komponente mehrere Vermeidungsmaßnahmen - Anti-Sandbox-Kontrollen, systemindirekte Anrufe und Methoden, um ETW und AMSI zu vermeiden - es schwierig zu erkennen, während der dynamischen Analyse. Um zu verstehen, warum diese Verteidigungen relevant sind, können Sie Windows-technische Dokumentation auf diesen Mechanismen überprüfen: ANSI, ETW und Suche und Ladung von DLL in Windows: Dynamische Link-Bibliothek Suche.
Sobald VENON aktiviert ist, kontaktiert VENON Ressourcen, die in Google Cloud Storage gehostet werden, um eine Konfiguration herunterzuladen, eine geplante Aufgabe zu installieren und eine WebSocket-Verbindung zu Ihrem Befehls- und Steuerserver aufzubauen, so dass Sie Aufträge erhalten und Ihr Verhalten in Echtzeit aktualisieren. Die Auswahl an Cloud-Infrastruktur, um Konfigurationen und Binaries zu speichern, ist nicht neu, aber es erleichtert Angreifern, Kontrolle und Flexibilität zu erhalten, ohne ihre eigenen Server mit bloßem Auge sichtbar zu machen; die Google Cloud-Dokumentationsplattform informiert über diese Dienste: Google Cloud-Speicher.
Aus der DLL-Analyse entstanden auch zwei Fragmente in Visual Basic Script, die einen ganz bestimmten Mechanismus implementieren: ersetzen legitimen direkten Zugriff auf die Itau-Bankanwendung durch manipulierte Versionen, die den Benutzer auf von dem Angreifer kontrollierte Seiten umleiten. Diese Methode, die auf der Desktop-Ebene wirkt, um die übliche Weg des Zugangs zur Bank abzufangen, beinhaltet auch eine Deinstallationsroutine, die die ursprünglichen Shortcuts wiederherstellen kann, was darauf hindeutet, dass die Betreiber die Fernbedienung über die Sichtbarkeit der Intrusion und Cover-Drucke halten wollen, wenn es ihnen passt.
In seiner Konfiguration ist VENON bereit, Fenstertitel und aktive Domänen im Browser zu überwachen und dessen Diebstahlmodul nur dann zu aktivieren, wenn es auf seiner Zielliste eine der 33 Finanzinstitute oder Digital Asset-Plattformen erkennt. Dabei startet sie betrügerische Überschneidungen, die die Schnittstelle von legitimen Dienstleistungen zur Erfassung von Anmeldeinformationen und sensiblen Daten von Opfern imitieren.
Das Aussehen von VENON fällt mit einem weiteren besorgniserregenden Trend in Brasilien zusammen: die Ausbeutung von WhatsApp als Verteilungsvektor. Neuere Kampagnen haben bereits authentifizierte WhatsApp-Web-Sessions genutzt, um einen Wurm namens SORVEPOTEL zu verbreiten, der schädliche Nachrichten an kompromittierte Kontakte sendet und die Lieferung von Lasten wie Maverick, Casbaneiro oder Astaroth verlinkt. Das Blackpoint Cyber-Labor detailliert, wie eine einzelne Interaktion durch eine entführte Session zur Ausführung im Gedächtnis von Implantaten wie Astaroth führen könnte, was beweist, dass die Kombination von lokaler Automatisierung und Browsersteuerung Angreifern eine sehr permissive Umgebung bietet: https: / / blackpointcyber.com / blog / Whatsapp-worm-sorvepotel-astaroth-malware /.
Was diesen beiden Geschichten zugrunde liegt, ist eine Transformation, wie Bedrohungen gebaut und verteilt werden: weniger häufige Sprachen in Malware, wie Rust, und Unterstützung von Code-Generation-Tools reduzieren die technische Barriere, um anspruchsvolle Familien zu montieren, während konsolidierte soziale Vektoren, wie WhatsApp, bleiben der bevorzugte Kanal, um Opfer mit offensichtlichem Vertrauen zu erreichen. Das Ergebnis ist ein Ökosystem, in dem Social Engineering und Technologie kombiniert werden, um die Wirksamkeit von Betrug zu maximieren.
Für Benutzer und Sicherheitsausrüstung bleiben grundlegende Empfehlungen relevant und praktisch: das Misstrauen von Links und komprimierten Dateien, die durch Messaging empfangen wurden, vermeiden Sie ungeprüfte Skripte, pflegen aktuelle Systeme und Antiviren-Systeme und beschränken Sie die Verwendung von Werkzeugen, die eine automatische Codeausführung erlauben. Organisationen sollten anomale Aktivitäten im Zusammenhang mit programmierten Aufgaben, ausgehende Verbindungen zu Cloud-Diensten und Änderungen an sensiblen Direktzugriffen sowie die Umsetzung von Kontrollen zur Umsetzung von PowerShell und anderen Dolmetschern überwachen. Microsofts Richtlinien über AMSI und ETW sowie die Dokumentation der bewährten Praxis im Windows Management sind ein guter Ausgangspunkt, um diese Techniken zu verstehen und zu mildern.
VENON erinnert daran, dass sich Bedrohungen entwickeln: Sprachenwechsel, Evasionen werden abgestimmt und automatisierte Werkzeuge werden mit alten sozialen Tricks kombiniert. Die Verteidigung erfordert sowohl technische Kontrollen als auch Benutzerbewusstsein, denn bei vielen Angriffen bleibt die menschliche Verbindung diejenige, die die Tür öffnet.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...