У латиноамериканському сегменті кіберзлочинності з’явився новий банківський троян для Windows VENON, орієнтований насамперед на користувачів у Бразилії. На відміну від більшості регіональних банківських троянів, які традиційно писалися на Delphi, VENON реалізований мовою Rust, що ускладнює його аналіз та детектування класичними засобами захисту.
VENON і еволюція латиноамериканських банківських троянів
За даними дослідників компанії ZenoX, VENON є логічним продовженням відомих сімейств на кшталт Grandoreiro, Mekotio та Coyote. Троян зберігає характерні для цих сімейств можливості: демонстрацію оверлеїв поверх справжніх банківських сайтів, моніторинг активного вікна та перехоплення подій у популярних браузерах, а також механізм підміни ярликів (LNK hijacking).
Конкретна кіберзлочинна група, що стоїть за VENON, поки не ідентифікована. Аналіз раннього зразка від січня 2026 року показав наявність повних шляхів збірки з іменем користувача Windows «byst4». Структура коду й використання Rust свідчать про розробника, добре обізнаного з можливостями латиноамериканських банківських троянів, який, імовірно, застосував генеративний ШІ для переписування та розширення функціоналу на Rust. Галузеві звіти за 2023–2024 роки підтверджують, що Rust дедалі частіше використовується в шкідливому ПЗ завдяки його продуктивності та складності реверс-інжинірингу.
Ланцюжок зараження Windows та ухилення від виявлення
Поширення VENON побудовано як багатоступеневу ланку компрометації з використанням техніки DLL side-loading. Жертві пропонують завантажити ZIP-архів під виглядом «оновлення» або «виправлення помилки» (сценарій нагадує відомі кампанії формату ClickFix). Всередині архіву містяться легітимний застосунок і шкідлива DLL, запуск якої ініціюється за допомогою PowerShell-скрипта.
Перед повноцінною активацією DLL виконує щонайменше дев’ять різних технік ухилення. Серед них — перевірка на запуск у пісочниці, застосування indirect syscalls для обходу користувацьких хуків, вимкнення ETW (Event Tracing for Windows) та обхід AMSI, який відповідає за перевірку скриптів. Подібний підхід суттєво знижує шанси виявлення традиційними антивірусами та базовими EDR-рішеннями, які покладаються на сигнатури й типові поведінкові патерни.
Після ініціалізації VENON звертається до URL у Google Cloud Storage для завантаження конфігурації, створює у системі заплановане завдання та встановлює WebSocket-з’єднання з сервером керування (C2). Зловживання інфраструктурою великих хмарних провайдерів дозволяє маскувати шкідливий трафік серед легітимних підключень і ускладнює блокування на мережевому рівні.
Цілі атак: банки, криптосервіси та користувачі застосунку Itaú
Після отримання конфігурації банківський троян VENON переходить до цільової стадії атаки. Він відстежує заголовки вікон і домени активних вкладок браузера, активуючись лише тоді, коли користувач відкриває програми або сайти зі списку 33 фінансових організацій та сервісів цифрових активів. До переліку входять як класичні банки, так і криптовалютні біржі та платформи для роботи з цифровими активами.
Коли виявлено цільовий застосунок чи сайт, VENON показує підроблений оверлей — вікно або веб-форму, що візуально повторює легітимний інтерфейс. Користувач вводить логін, пароль, коди 2FA або одноразові токени, після чого ці дані негайно надсилаються на C2-сервер зловмисників.
Окремо виділяється механізм підміни ярликів (shortcut hijacking), націлений на десктопний застосунок одного з найбільших бразильських банків Itaú. З DLL-файла аналітики виділили два фрагменти VBScript, які замінюють легітимні системні ярлики модифікованими. У результаті користувач, думаючи, що запускає офіційний клієнт Itaú, фактично перенаправляється на контрольовану зловмисниками сторінку. Передбачений і сценарій деінсталяції, який відновлює оригінальні ярлики та видаляє артефакти зараження, що ускладнює подальше розслідування інциденту.
WhatsApp як канал атак: черв’як SORVEPOTEL та імплант Astaroth
Аналіз VENON відбувається на тлі інших активних кампаній проти бразильських користувачів, де ключову роль відіграє популярний месенджер WhatsApp. Дослідники фіксують поширення черв’яка SORVEPOTEL через веб-версію WhatsApp на настільних ПК. Зловмисники отримують контроль над уже автентифікованими сесіями й розсилають шкідливі повідомлення у наявні діалоги, що суттєво підвищує довіру до вмісту таких листувань.
Такі ланцюжки часто завершуються встановленням банківських троянів Maverick, Casbaneiro або Astaroth. За інформацією Blackpoint Cyber, іноді одного скомпрометованого повідомлення у SORVEPOTEL достатньо, щоб запустити багатокрокову атаку, фінальним етапом якої стає імплант Astaroth, що повністю працює в оперативній пам’яті без запису на диск. Поєднання локальної автоматизації, «безнаглядних» браузерних драйверів і записуваних користувачем середовищ виконання створює надто сприятливе середовище для закріплення і черв’яка, і фінального завантажувача без помітного спротиву засобів захисту.
Ключові тенденції та рекомендації з кіберзахисту
Основні тенденції банківських кібератак
Історія з VENON демонструє відразу кілька важливих трендів: перехід зловмисників до мов системного рівня, зокрема Rust, активне використання генеративного ШІ для розробки зловредів, зловживання хмарною інфраструктурою та масовими месенджерами на кшталт WhatsApp. Ці фактори змушують фінансові установи відходити від суто сигнатурного підходу на користь виявлення аномальної поведінки та нетипової мережевої активності.
Практичні кроки для користувачів і компаній
Для зниження ризиків користувачам і організаціям у Бразилії та інших країнах доцільно впровадити такі заходи:
- не завантажувати «оновлення», «патчі» чи «форми» за посиланнями з месенджерів або електронних листів, навіть якщо вони надходять від знайомих контактів;
- обмежити й журналювати використання PowerShell та інших інтерпретаторів скриптів на робочих станціях;
- використовувати сучасний EDR/XDR з підтримкою виявлення обходу ETW і AMSI, а також з аналітикою взаємодії з хмарними сховищами;
- чітко розділяти робочі й особисті акаунти WhatsApp Web та регулярно завершувати неактивні сесії;
- вмикати багатофакторну автентифікацію й, за можливості, застосовувати апаратні токени замість одноразових кодів з SMS або мобільних застосунків;
- проводити регулярне навчання співробітників розпізнаванню фішингових атак і прийомів соціальної інженерії.
Поява банківського трояна VENON та паралельних атак через WhatsApp ще раз підтверджує, що кіберзлочинці динамічно адаптуються до захисних технологій і щоденних звичок користувачів. Чим більш звичним і «легітимним» здається канал доставки — хмара, месенджер, офіційний застосунок, — тим вищою стає ймовірність успішної компрометації. Регулярне оновлення інфраструктури, впровадження поведінкових засобів захисту та систематичне підвищення цифрової грамотності користувачів залишаються ключовими умовами для захисту банківських акаунтів і фінансових даних від нових хвиль шкідливого ПЗ.
