Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

VENON малициозен софтвер базиран на Rust таргетира 33 бразилски банки со overlay-механизми за кражба на креденцијали

Објавено: 13.03.2026

Истражувачите за сајбер-безбедност објавија детали за нов банкарски малициозен софтвер насочен кон корисници во Бразил, кој е напишан во програмскиот јазик Rust. Ова претставува значајна промена во однос на претходните познати malware семејства од латиноамериканскиот сајбер-криминален екосистем, кои најчесто беа развивани во Delphi.

Малициозниот софтвер, кој е дизајниран да инфицира Windows системи и за првпат бил откриен минатиот месец, е именуван како VENON од бразилската компанија за сајбер-безбедност ZenoX.

Она што го прави VENON посебно е фактот што покажува однесување слично на веќе познати банкарски тројанци кои таргетираат корисници во регионот, како што се Grandoreiro, Mekotio и Coyote. Тоа особено се однесува на функции како:

  • банкарски overlay механизам (лажни прозорци над вистинските банкарски апликации за крадење лозинки),
  • следење на активниот прозорец,
  • механизам за преземање на контрола врз LNK (shortcut) фајлови.

Малициозниот софтвер засега не е поврзан со некоја претходно позната хакерска група или кампања. Сепак, постара верзија на примерокот од јануари 2026 година открила целосни патеки од развојната околина на авторот на malware-от. Тие патеки постојано се повикуваат на корисничкото име на Windows машината „byst4“ (на пример: C:\Users\byst4\...).

„Структурата на Rust кодот покажува обрасци што сугерираат програмер запознаен со можностите на постојните латиноамерикански банкарски тројанци, но кој користел генеративна вештачка интелигенција за да ги пренапише и прошири тие функционалности во Rust, јазик кој бара значително техничко искуство за да се користи на ова ниво на софистицираност,“ соопшти ZenoX.

VENON се дистрибуира преку софистициран синџир на инфекција, кој користи техника наречена DLL side-loading за да стартува злонамерна DLL библиотека. Се претпоставува дека кампањата користи социјален инженеринг, како што е ClickFix, за да ги измами корисниците да преземат ZIP архива што ги содржи payload-ите, преку PowerShell скрипта.

Откако DLL-датотеката ќе се изврши, таа применува девет техники за избегнување детекција, меѓу кои:

  • anti-sandbox проверки,
  • indirect syscalls,
  • ETW bypass,
  • AMSI bypass.

Дури потоа започнува со злонамерни активности. Malware-от исто така се поврзува со Google Cloud Storage URL за да преземе конфигурација, да инсталира закажана задача (scheduled task) и да воспостави WebSocket конекција со command-and-control (C2) серверот.

Ако сакаш, можам и да ти објаснам зошто се повеќе malware се пишува во Rust (и зошто тоа е проблем за антивирусите и EDR системите) – тоа е интересен тренд што се гледа во 2025–2026.

Исто така, од DLL датотеката се извлечени две Visual Basic Script (VBS) блокови кои имплементираат механизам за преземање контрола врз кратенки (shortcut hijacking), ексклузивно насочен кон банкарската апликација Itaú Unibanco.

Овие компоненти функционираат така што ги заменуваат легитимните системски кратенки со изменети верзии кои ја пренасочуваат жртвата кон веб-страница под контрола на напаѓачот.

Нападот исто така содржи и опција за деинсталација, која ги поништува направените промени. Ова укажува дека операцијата може далечински да се контролира од операторот, кој може да ги врати кратенките во нивната оригинална состојба со цел прикривање на трагите.

Вкупно, овој банкарски malware е способен да таргетира 33 финансиски институции и платформи за дигитални средства, преку:

  • следење на насловот на активниот прозорец,
  • следење на доменот на активниот веб-прелистувач.

Malware-от се активира само кога корисникот ќе отвори некоја од таргетираните апликации или веб-страници, по што прикажува лажни overlay прозорци за да ги украде корисничките креденцијали.

Ова откритие доаѓа во време кога заканувачките актери ја злоупотребуваат огромната популарност на WhatsApp во Brazil, за да дистрибуираат worm наречен SORVEPOTEL преку десктоп веб верзијата на апликацијата.

Нападот се базира на злоупотреба на претходно автентицирани разговори, преку кои се испраќаат злонамерни пораки директно до жртвите. Ова на крај доведува до инсталирање на банкарски malware како:

  • Maverick,
  • Casbaneiro,
  • Astaroth.

„Една единствена WhatsApp порака, испратена преку компромитирана SORVEPOTEL сесија, беше доволна да ја вовлече жртвата во повеќефазен напад, кој на крај резултираше со Astaroth имплант што работи целосно во меморија,“ изјави компанијата Blackpoint Cyber.

„Комбинацијата од локални алатки за автоматизација, browser driver-и без надзор и runtime средини што може да ги менува корисникот создаде невообичаено дозволувачка средина, што им овозможи и на worm-от и на крајниот payload да се инсталираат со минимални пречки.“

Извори:

  • The Hacker News – Rust-Based VENON Malware Targets 33 Brazilian Banks with Credential-Stealing Overlays The Hacker News