In der lateinamerikanischen Cybercrime-Szene ist ein neuer Windows-Banking-Trojaner aufgetaucht: VENON. Die Malware zielt primär auf Nutzer in Brasilien und sticht dadurch hervor, dass sie vollständig in Rust entwickelt wurde – einem Systemsprache-Trend, der klassische Delphi-basierte Banking-Trojaner der Region zunehmend ablöst.
Rust-Banking-Trojaner VENON: Herkunft, Entwicklung und Einordnung
Der Trojaner wurde von der brasilianischen Sicherheitsfirma ZenoX analysiert und wird als Weiterentwicklung bekannter Familien wie Grandoreiro, Mekotio und Coyote eingeordnet. Funktional nutzt VENON typische Mechanismen lateinamerikanischer Bank-Malware: Overlay-Angriffe auf Online-Banking-Webseiten, Überwachung aktiver Fenster, Manipulation von Browser-Sitzungen und Shortcut-Hijacking (LNK-Hijacking).
Eine eindeutige Zuordnung zu einer bekannten Gruppe liegt bislang nicht vor. In einem Sample vom Januar 2026 fanden Analysten jedoch vollständige Build-Pfade mit einem Windows-Benutzernamen „byst4“. Der Aufbau des Rust-Codes deutet auf einen Entwickler hin, der vorhandene Banking-Trojaner sehr gut kennt und gezielt generative KI genutzt hat, um Funktionen nach Rust zu portieren und zu erweitern. Mehrere Threat-Intelligence-Berichte 2023–2024 bestätigen, dass Rust vermehrt für Malware eingesetzt wird, weil der Code performant, speichersicher und für Reverse Engineering deutlich schwerer zu analysieren ist.
Infektionskette unter Windows und ausgefeilte Evasion-Techniken
VENON wird über eine mehrstufige Infektionskette verteilt, in der DLL Side-Loading eine zentrale Rolle spielt. Anwendern werden ZIP-Archive als vermeintliche „Patches“ oder „Updates“ angeboten – ein Muster, das an regionale Kampagnen wie ClickFix erinnert. Im Archiv befinden sich eine legitime Anwendung und eine bösartige DLL, deren Ausführung über ein PowerShell-Skript angestoßen wird.
Bevor der eigentliche Schadcode aktiv wird, führt die DLL nach Angaben der Forscher mindestens neun Umgehungstechniken aus. Dazu gehören Prüfungen auf Sandbox- und Analyseumgebungen, der Einsatz von indirect syscalls zur Umgehung von Benutzerland-Hooks, das Deaktivieren von Event Tracing for Windows (ETW) sowie das Umgehen der Anti-Malware-Schnittstelle AMSI, die Skriptinhalte überprüft. Solche Maßnahmen erschweren signatur- und verhaltensbasierte Erkennung in klassischen AV- und vielen EDR-Lösungen erheblich.
Cloud-C2 über Google und gezielte Angriffe auf Banken und Krypto-Dienste
Nach erfolgreicher Initialisierung kontaktiert VENON eine Google-Cloud-Storage-URL, um seine Konfiguration nachzuladen. Anschließend richtet der Trojaner eine geplante Aufgabe in Windows ein, um dauerhaft präsent zu bleiben, und baut eine WebSocket-Verbindung zu seinem Command-and-Control-Server (C2) auf. Die Nutzung von Infrastruktur großer Cloud-Anbieter erschwert die Netzwerkerkennung, da der Datenverkehr im legitimen Cloud-Traffic „untergeht“.
Anschließend überwacht VENON aktiv Fenstertitel und Browser-Domains. Der Trojaner wird nur aktiv, wenn Anwendungen oder Websites aus einer Liste von 33 Finanz- und Digital-Asset-Dienstleistern erkannt werden. Dazu zählen klassische Banken ebenso wie Kryptobörsen und Plattformen für digitale Vermögenswerte. Erkennt die Malware ein Ziel, blendet sie ein täuschend echt gestaltetes Overlay über die Anwendung oder Webseite ein. Auf dieser gefälschten Oberfläche eingegebene Zugangsdaten, 2FA-Codes oder Einmal-Token werden direkt an die Angreifer übertragen.
Shortcut-Hijacking gegen Itaú: Manipulierte Verknüpfungen und Spurenverwischung
Besonders raffiniert ist der LNK-Hijacking-Mechanismus, der auf das Banking-Programm der brasilianischen Großbank Itaú abzielt. Aus der analysierten DLL konnten zwei VBScript-Blöcke extrahiert werden, die legitime System-Shortcuts durch manipulierte Versionen ersetzen. Nutzer, die vermeintlich den offiziellen Itaú-Client starten, werden unbemerkt auf eine von den Angreifern kontrollierte Seite umgelenkt.
Darüber hinaus ist ein spezielles Deinstallationsskript vorgesehen, das Spuren der Infektion entfernt und die ursprünglichen Verknüpfungen wiederherstellt. Diese „Selbstreparatur“ erschwert forensische Analysen erheblich, da offensichtliche Indikatoren nach Abschluss der Kampagne fehlen – ein Muster, das zunehmend bei professionell betriebenen Banking-Trojanern beobachtet wird.
WhatsApp-Wurm SORVEPOTEL: Missbrauch eines Alltagsmessengers
Parallel zur VENON-Kampagne registrieren Sicherheitsforscher vermehrt Angriffe über den in Brasilien weit verbreiteten Messenger WhatsApp. Der Wurm SORVEPOTEL verbreitet sich über WhatsApp Web auf Desktop-Systemen, indem kompromittierte, bereits authentifizierte Sitzungen übernommen werden. Die Schadsoftware versendet infizierte Nachrichten in bestehenden Chats, was das Vertrauen der Empfänger deutlich erhöht.
Diese Angriffsketten enden häufig mit der Installation weiterer Banking-Trojaner wie Maverick, Casbaneiro oder Astaroth. Laut Analysen von Blackpoint Cyber genügte in mindestens einem dokumentierten Fall eine einzige Nachricht aus einer SORVEPOTEL-Sitzung, um ein mehrstufiges Angriffsszenario auszulösen, das in einem vollständig im Arbeitsspeicher laufenden Astaroth-Implantat mündete. Die Kombination aus lokalen Automatisierungs-Tools, „headless“ Browser-Treibern und vom Nutzer beschreibbaren Laufzeitumgebungen schafft eine ungewöhnlich „permissive“ Umgebung, in der sich sowohl Wurm als auch Loader mit minimaler Abwehr etablieren können.
Sicherheitsimplikationen und empfohlene Schutzmaßnahmen
VENON und die parallelen WhatsApp-Kampagnen verdeutlichen mehrere zentrale Trends im Bereich Finanz-Cyberkriminalität: den Wechsel zu Systemsprachen wie Rust, den Einsatz generativer KI für Malware-Entwicklung, den Missbrauch von Cloud-Infrastruktur für C2 sowie die Nutzung alltäglicher Messenger als Einfallstor. Für Banken und Unternehmen bedeutet dies, dass rein signaturbasierte Abwehransätze nicht mehr ausreichen; verhaltensbasierte Erkennung und Netzwerk-Analytik werden zur Pflicht.
- Laden Sie keine „Updates“ oder „Fixes“ aus Links in Messengern oder E-Mails herunter – auch dann nicht, wenn sie scheinbar von bekannten Kontakten stammen.
- Beschränken und protokollieren Sie die Nutzung von PowerShell und anderen Skript-Engines auf Arbeitsstationen; setzen Sie signierte Skripte und Application-Whitelisting ein.
- Implementieren Sie moderne EDR/XDR-Lösungen, die das Umgehen von ETW und AMSI erkennen und Zugriffe auf Cloud-Speicher wie Google Cloud Storage überwachen können.
- Trennen Sie berufliche und private WhatsApp-Web-Sitzungen strikt und beenden Sie nicht mehr benötigte Sitzungen regelmäßig.
- Aktivieren Sie Multi-Faktor-Authentifizierung und bevorzugen Sie hardwarebasierte Sicherheitstoken gegenüber SMS- oder App-basierten Einmalcodes.
- Führen Sie regelmäßige Security-Awareness-Schulungen durch, um Mitarbeiter für Phishing und Social-Engineering-Taktiken zu sensibilisieren.
Die Weiterentwicklung von Banking-Trojanern wie VENON zeigt, wie schnell sich Angreifer an neue Schutzmechanismen und Nutzergewohnheiten anpassen. Je vertrauter und „legitimer“ ein Kanal wirkt – sei es ein Cloud-Dienst, ein Messenger oder eine vermeintlich offizielle Banking-App –, desto höher ist die Erfolgswahrscheinlichkeit eines Angriffs. Organisationen sollten ihre Sicherheitsarchitektur daher kontinuierlich überprüfen, technische Kontrollen mit Schulungsprogrammen kombinieren und insbesondere Finanzzugriffe unter verstärkte Überwachung stellen, um Kompromittierungen frühzeitig zu erkennen und Finanzschäden zu verhindern.
