В экосистеме латиноамериканской киберпреступности зафиксировано появление нового банковского трояна для Windows, получившего название VENON. Вредоносное ПО нацелено преимущественно на пользователей в Бразилии и выделяется тем, что написано на языке Rust, тогда как большинство региональных банковских троянов традиционно создавались на Delphi.
Новый банковский троян VENON: Rust вместо Delphi и следы разработчика
VENON был выявлен исследователями бразильской компании ZenoX и рассматривается как эволюция уже знакомых семейств, таких как Grandoreiro, Mekotio и Coyote. По своей функциональности он повторяет характерные для латиноамериканских банковских троянов механизмы: оверлеи поверх банковских сайтов, мониторинг активного окна и перехват событий в популярных браузерах, а также подмену ярлыков (LNK hijacking).
При этом вредонос пока не сопоставлен ни с одной известной группировкой. Анализ более раннего образца от января 2026 года показал в бинарных данных полные пути разработки с упоминанием имени пользователя Windows «byst4». По оценке ZenoX, структура кода на Rust указывает на разработчика, хорошо знакомого с возможностями существующих латиноамериканских банковских троянов, который, однако, использовал генеративный ИИ для переписывания и расширения функционала на Rust. Это вписывается в общую тенденцию: по данным отраслевых отчетов за 2023–2024 годы, Rust все чаще применяется для создания вредоносного ПО из‑за его производительности и усложнённого анализа кода.
Цепочка заражения Windows и сложные техники уклонения
Распространение VENON организовано через многоступенчатую цепочку компрометации с применением DLL side-loading. Пользователю, как предполагается, предлагается загрузить ZIP‑архив под видом «исправления» или «обновления» (например, в рамках кампаний, напоминающих распространённый в регионе сценарий ClickFix). Архив содержит легитимное приложение и вредоносную DLL, запуск которой инициируется PowerShell‑скриптом.
После загрузки DLL выполняет не менее девяти техник уклонения до начала активной вредоносной деятельности. Среди них — проверки на запуск в песочнице, использование indirect syscalls для обхода пользовательских хуков, отключение ETW (Event Tracing for Windows) и обход AMSI, отвечающего за анализ скриптов. Такой подход существенно снижает вероятность детектирования традиционными антивирусами и базовыми EDR‑решениями, полагающимися на поведенческие сигнатуры.
Затем VENON обращается к URL‑адресу в Google Cloud Storage для загрузки конфигурации, создает запланированное задание в системе и устанавливает соединение по WebSocket с сервером управления (C2). Использование инфраструктуры крупных облачных провайдеров позволяет злоумышленникам маскировать трафик среди легитимных соединений и усложняет блокировку на сетевом уровне.
Атаки на банки и криптосервисы: оверлеи и подмена ярлыков Itaú
Собрав конфигурацию, VENON переходит к целевой фазе атаки. Троян способен отслеживать заголовки окон и домены активных вкладок браузера и активируется только при открытии приложений или сайтов из списка из 33 финансовых организаций и цифровых активов. В их число входят как традиционные банки, так и криптобиржи и платформы для работы с цифровыми активами.
При обнаружении целевого приложения троян отображает фальшивый оверлей — поддельное окно или веб‑форму, внешне идентичную оригинальной. На такой странице жертва вводит учетные данные, коды 2FA или одноразовые токены, которые немедленно передаются на C2‑сервер операторов.
Отдельного внимания заслуживает механизм подмены ярлыков (shortcut hijacking), нацеленный на приложение банка Itaú. Из DLL извлечены два блока VBScript, отвечающие за замену легитимных системных ярлыков модифицированными версиями. В результате пользователь, думая, что запускает официальный клиент Itaú, перенаправляется на контролируемую злоумышленниками страницу. Предусмотрен и специальный сценарий деинсталляции, позволяющий удалить следы и восстановить исходные ярлыки, что затрудняет расследование инцидента.
WhatsApp как вектор атак: распространение червя SORVEPOTEL
Обнаружение VENON происходит на фоне других активных кампаний против бразильских пользователей, использующих популярный мессенджер WhatsApp в качестве основного канала коммуникации. Исследователи фиксируют распространение червя SORVEPOTEL через веб‑версию WhatsApp на настольных ПК. Злоумышленники захватывают уже аутентифицированные сессии и рассылают заражённые сообщения по ранее существовавшим диалогам, что значительно повышает доверие получателя.
Подобные цепочки нередко завершаются установкой известных банковских троянов, таких как Maverick, Casbaneiro или Astaroth. По данным компании Blackpoint Cyber, одного сообщения, отправленного из скомпрометированной сессии SORVEPOTEL, было достаточно, чтобы вовлечь жертву в многоэтапную атаку, завершившуюся запуском импланта Astaroth, полностью работающего в оперативной памяти. Исследователи отмечают, что сочетание локальных средств автоматизации, «безнадзорных» драйверов браузера и исполняемых сред, доступных для записи пользователем, создает «необычно разрешающую» среду, в которой и червь, и финальный загрузчик закрепляются с минимальным сопротивлением со стороны защитных систем.
Ключевые тенденции и рекомендации по защите
Случай VENON демонстрирует сразу несколько тенденций в современном банковском фроде: переход к языкам системного уровня вроде Rust, активное использование генеративного ИИ при разработке зловредов, злоупотребление облачной инфраструктурой и повсеместно используемыми мессенджерами. Для финансовых организаций это означает необходимость смещения акцента с сигнатурного анализа на выявление аномального поведения и сетевой активности.
Пользователям и компаниям в Бразилии и других странах рекомендуется:
- не загружать «обновления» и «фиксы» из ссылок в мессенджерах и письмах, даже если они приходят от знакомых контактов;
- ограничить и журналировать использование PowerShell и других скриптовых интерпретаторов на рабочих станциях;
- использовать современный EDR/XDR с поддержкой детектирования обхода ETW и AMSI, а также анализа взаимодействий с облачными хранилищами;
- жестко разделять рабочие и личные аккаунты WhatsApp Web и регулярно завершать неиспользуемые сессии;
- включать многофакторную аутентификацию и по возможности использовать аппаратные токены вместо одноразовых кодов из SMS или приложений;
- проводить регулярное обучение сотрудников распознаванию фишинга и социально-инженерных приемов.
Появление VENON и параллельных кампаний через WhatsApp подтверждает, что банковские трояны продолжают адаптироваться к защитным мерам и пользовательским привычкам. Чем более привычным и «легитимным» кажется канал доставки (облачные сервисы, мессенджеры, официальный софт), тем выше вероятность успешной атаки. Регулярное обновление систем, внедрение поведенческих средств защиты и повышение цифровой грамотности пользователей остаются ключевыми шагами для снижения рисков финансовых киберпреступлений и защиты учетных данных клиентов.
