Les chercheurs en sécurité ont trouvé une nouvelle famille de logiciels malveillants bancaires pour les utilisateurs au Brésil qui, pour la première fois dans cet écosystème, est écrite dans Rust. L'entreprise brésilienne ZenoX était chargée d'analyser l'échantillon et de lui donner le nom clé VENON ; son rapport souligne que, bien que la langue soit différente, le comportement du code renvoie les souches bancaires déjà connues dans la région, comme Grandoreiro, Mekotio ou Coyote, en intégrant la logique du chevauchement des fenêtres, le suivi actif des applications et une technique pour détourner l'accès direct au système.
Ce qui rend VENON particulièrement frappant, ce n'est pas seulement l'utilisation de Rust - un langage moderne qui n'est pas commun dans ce type de menace - mais aussi la combinaison de pratiques de développement avancées et de signes de réutilisation ou de réécriture assistés par des outils d'intelligence artificielle. ZenoX indique des modèles dans la structure du code qui suggèrent que l'auteur est bien conscient des capacités des banques latino-américaines et qu'il aurait utilisé la génération automatique de code pour adapter et étendre ces fonctionnalités dans Rust. L'analyse complète est disponible dans le rapport technique de ZenoX: https: / / zenox.ai / fr / venon-the-first-brazilian-banker-rat-in-rust /.
Le binaire découvert comprend également des traces de la machine de développement elle-même: les premières versions exposent des routes complètes sur Windows qui font une référence répétée à l'utilisateur "byst4" (par exemple, "C:\\ Users\\\ byst4\..."), un détail médico-légal qui peut aider les analystes à comprendre l'origine et l'évolution du projet malveillant.
La chaîne d'infection décrite par les chercheurs est complexe et combine le génie social et les techniques de persistance. Il semble que les attaquants distribuent un ZIP avec un script PowerShell à travers des leurres comme faux services de message "fix" (ClickFix) et exploitent le chargement latéral DLL pour charger une librairie malveillante dans le système. Avant d'effectuer des actions nuisibles, le composant effectue de multiples mesures d'évitement - contrôles anti-sandbox, appels indirects système, et méthodes pour éviter ETW et AMSI - pour rendre difficile la détection lors de l'analyse dynamique. Pour comprendre pourquoi ces défenses sont pertinentes, vous pouvez consulter la documentation technique de Windows sur ces mécanismes: LIMITÉE, ETW et la recherche et la charge de DLL dans Windows: Ordre de recherche de la bibliothèque de liens dynamiques.
Une fois activé, VENON contacte les ressources hébergées dans Google Cloud Storage pour télécharger une configuration, installer une tâche programmée et établir une connexion WebSocket à votre serveur de commande et de contrôle, vous permettant de recevoir des commandes et de mettre à jour votre comportement en temps réel. Le choix de l'infrastructure cloud pour stocker les configurations et les binaires n'est pas nouveau, mais il permet aux attaquants de maintenir le contrôle et la flexibilité sans déployer leurs propres serveurs visibles à l'œil nu; la plateforme documentaire Google Cloud fournit des informations sur ces services: Stockage Google Cloud.
De l'analyse DLL a également émergé deux fragments dans Visual Basic Script qui implémentent un mécanisme très spécifique: remplacer l'accès direct légitime à l'application de banque Itau par des versions manipulées qui redirigent l'utilisateur vers des pages contrôlées par l'attaquant. Cette méthode, qui agit au niveau du bureau pour intercepter la voie habituelle d'accès à la banque, comprend également une routine de désinstallation qui peut restaurer les raccourcis d'origine, ce qui suggère que les opérateurs veulent garder le contrôle à distance sur la visibilité de l'intrusion et couvrir les impressions quand elle leur convient.
Dans sa configuration, VENON est prêt à surveiller les titres des fenêtres et les domaines actifs dans le navigateur et à activer son module de vol uniquement lorsqu'il détecte l'une des 33 institutions financières ou plateformes d'actifs numériques figurant sur sa liste cible. Ce faisant, il lance des chevauchements frauduleux qui imitent l'interface des services légitimes pour saisir les références et les données sensibles des victimes.
L'apparition du VENON coïncide avec une autre tendance inquiétante au Brésil : l'exploitation de WhatsApp comme vecteur de distribution. Des campagnes récentes ont profité des sessions WhatsApp Web déjà authentifiées pour répandre un ver appelé SORVEPOTEL, qui envoie des messages malveillants aux contacts compromis et relie la livraison de charges telles que Maverick, Casbaneiro ou Astaroth. Le laboratoire Blackpoint Cyber a expliqué comment une seule interaction par une session détournée pourrait mener à l'exécution en mémoire d'implants comme Astaroth, démontrant que la combinaison de l'automatisation locale et du contrôle du navigateur offre aux attaquants un environnement très permissif : https: / / blackpointcyber.com / blog / Whatsapp-worm-sorvepotel-astaroth-malware /.
Ce qui sous-tend ces deux histoires est une transformation de la façon dont les menaces sont construites et distribuées: les langages moins courants dans les logiciels malveillants, comme Rust, et l'aide des outils de génération de code réduisent la barrière technique à l'assemblage de familles sophistiquées, tandis que les vecteurs sociaux consolidés, comme WhatsApp, restent le canal préféré pour atteindre les victimes avec une confiance apparente. Il en résulte un écosystème où l'ingénierie sociale et la technologie sont combinées pour maximiser l'efficacité de la fraude.
Pour les utilisateurs et les équipements de sécurité, les recommandations de base restent pertinentes et pratiques : méfiance à l'égard des liens et des fichiers compressés reçus par la messagerie, évite l'exécution de scripts non vérifiés, maintient des systèmes à jour et antivirus et limite l'utilisation d'outils permettant l'exécution automatique de code. Les organisations devraient surveiller les activités anormales liées aux tâches programmées, aux connexions sortantes aux services cloud et aux modifications apportées à l'accès direct sensible, ainsi que mettre en place des contrôles sur la mise en œuvre de PowerShell et d'autres interprètes. Les directives de Microsoft sur AMSI et ETW, ainsi que la documentation de bonnes pratiques dans la gestion de Windows, sont un bon point de départ pour comprendre et atténuer ces techniques.
Le VENON rappelle que les menaces évoluent : les langues changent, les fraudes sont entendues et les outils automatisés sont combinés avec de vieux trucs sociaux. La défense exige à la fois des contrôles techniques et une prise de conscience des utilisateurs, car dans de nombreuses attaques, le lien humain reste celui qui finit par ouvrir la porte.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...