Wprowadzenie do problemu / definicja
VENON to nowo opisane złośliwe oprogramowanie bankowe dla systemów Windows, ukierunkowane na użytkowników w Brazylii. Jego głównym celem jest kradzież danych uwierzytelniających, przejmowanie interakcji z aplikacjami finansowymi oraz wyświetlanie fałszywych nakładek podszywających się pod legalne interfejsy bankowe.
Na tle wielu wcześniejszych trojanów bankowych z Ameryki Łacińskiej VENON wyróżnia się implementacją w języku Rust. To istotna zmiana, ponieważ Rust utrudnia analizę próbki, a jednocześnie daje twórcom malware nowoczesne możliwości rozwoju i utrzymania kodu.
W skrócie
- VENON to banking trojan dla Windows wykryty w lutym 2026 roku i szerzej opisany 12 marca 2026 roku.
- Złośliwe oprogramowanie celuje w 33 instytucje finansowe oraz platformy aktywów cyfrowych działające w Brazylii.
- Łańcuch infekcji wykorzystuje archiwa ZIP, skrypty PowerShell oraz technikę DLL side-loading.
- Malware stosuje obejścia AMSI, ETW i mechanizmy anty-sandboxowe, aby utrudnić wykrycie.
- Jednym z ciekawszych elementów jest przejmowanie skrótów systemowych, w tym powiązanych z aplikacją bankową Itaú.
Kontekst / historia
Brazylia od lat pozostaje jednym z najaktywniejszych rynków dla lokalnie rozwijanych trojanów bankowych. Operatorzy takich kampanii dobrze rozumieją regionalny ekosystem płatniczy, zachowania użytkowników oraz specyfikę bankowości elektronicznej, dlatego ich narzędzia często są precyzyjnie dostosowane do konkretnych instytucji i procesów logowania.
VENON wpisuje się w ten model, ale jednocześnie pokazuje wyraźną ewolucję techniczną. Zamiast klasycznych schematów opartych na starszych technologiach, autorzy postawili na nowocześniejszy stos programistyczny, wieloetapowy łańcuch uruchomienia i bardziej selektywną aktywację funkcji fraudowych.
Z perspektywy threat intelligence może to oznaczać pojawienie się nowej rodziny malware albo rozwinięcie znanych wcześniej koncepcji bankerów w nowej formie. Badacze zwracają uwagę, iż wcześniejsze artefakty z początku 2026 roku sugerowały aktywny rozwój projektu, co wskazuje na świeżą i rozwijaną operację.
Analiza techniczna
Opisany scenariusz infekcji rozpoczyna się od dostarczenia archiwum ZIP, najpewniej z wykorzystaniem socjotechniki. Po rozpakowaniu uruchamiane są komponenty wykorzystujące PowerShell, który przygotowuje środowisko do załadowania adekwatnego ładunku.
Kluczową rolę odgrywa DLL side-loading. Technika ta polega na wykorzystaniu legalnego komponentu lub procesu do załadowania złośliwej biblioteki DLL, co utrudnia wykrycie anomalii i pozwala ukryć aktywność malware w pozornie prawidłowym łańcuchu uruchomienia.
Po aktywacji VENON wdraża zestaw zabezpieczeń przed analizą. Obejmują one kontrole środowiska sandbox, pośrednie wywołania systemowe oraz próby ograniczenia widoczności dla AMSI i ETW. W praktyce zmniejsza to skuteczność wielu narzędzi bezpieczeństwa, zwłaszcza tych opartych na telemetrii skryptowej i standardowej obserwacji zachowań procesów.
Następnie malware pobiera konfigurację z zewnętrznego źródła, tworzy zadanie harmonogramu dla utrzymania trwałości i nawiązuje komunikację z infrastrukturą dowodzenia z użyciem WebSocket. Taki model umożliwia operatorowi dynamiczne sterowanie kampanią i dostosowywanie działań do aktywności ofiary.
Na szczególną uwagę zasługuje mechanizm przejmowania skrótów. Wyodrębnione z biblioteki DLL komponenty skryptowe modyfikują skróty prowadzące do aplikacji bankowych, tak aby użytkownik trafiał do zasobu kontrolowanego przez atakujących. Co ważne, malware ma także funkcję odwracania tych zmian, co może służyć zacieraniu śladów po zakończeniu operacji.
Główny moduł fraudowy działa selektywnie. Monitoruje aktywne okno oraz domenę otwartą w przeglądarce i dopiero po wykryciu jednego z 33 zdefiniowanych celów uruchamia fałszywe nakładki. Taki sposób działania ogranicza liczbę widocznych artefaktów, redukuje szansę na przypadkowe wykrycie i zwiększa skuteczność ataku podczas rzeczywistej sesji bankowej.
Konsekwencje / ryzyko
VENON stanowi poważne zagrożenie dla użytkowników indywidualnych i organizacji działających w Brazylii, zwłaszcza tych, które korzystają z lokalnych banków, fintechów i platform kryptowalutowych. Najważniejszym ryzykiem jest kradzież loginów, haseł i danych uwierzytelniających, a także przejęcie procesu autoryzacji transakcji.
Z punktu widzenia zespołów bezpieczeństwa problemem jest kontekstowa aktywacja malware. jeżeli złośliwy kod ujawnia swoje adekwatne funkcje dopiero po otwarciu konkretnej aplikacji lub domeny bankowej, standardowe testy analityczne mogą nie wykazać pełnego zakresu zagrożenia.
Dodatkowe wyzwania to wykorzystanie Rust, obejścia AMSI i ETW, użycie legalnych procesów do ładowania bibliotek oraz manipulowanie skrótami użytkownika. W efekcie zarówno analiza statyczna, jak i klasyczne monitorowanie endpointów mogą okazać się niewystarczające bez głębszej korelacji zdarzeń.
Ryzyko dotyczy również działań powłamaniowych. jeżeli operatorzy mogą zdalnie instalować i usuwać część artefaktów, ślady incydentu mogą być krótkotrwałe. To wymusza analizę wielu warstw jednocześnie: uruchomień procesów, zadań harmonogramu, aktywności PowerShell, połączeń sieciowych oraz zmian w plikach LNK.
Rekomendacje
Organizacje wspierające użytkowników w Brazylii powinny potraktować VENON jako istotne zagrożenie dla bezpieczeństwa bankowości elektronicznej. Priorytetem powinno być monitorowanie nietypowych sekwencji uruchomienia, zwłaszcza tych obejmujących archiwum pobrane z internetu, PowerShell, legalny loader i podejrzaną bibliotekę DLL.
- Wdrożyć reguły detekcji dla DLL side-loadingu i nadużyć legalnych procesów.
- Monitorować tworzenie nowych zadań harmonogramu oraz trwałość uzyskiwaną przez Scheduled Tasks.
- Analizować próby obejścia AMSI i ETW oraz nietypowe wywołania pośrednie.
- Kontrolować modyfikacje skrótów LNK, szczególnie tych prowadzących do aplikacji finansowych i biznesowych.
- Obserwować połączenia WebSocket inicjowane przez procesy o niskiej reputacji lub nietypowym drzewie procesów.
- Ograniczać uruchamianie skryptów i binariów z archiwów ZIP pobranych z internetu.
- Edukować użytkowników w zakresie socjotechniki, fałszywych komunikatów i manualnego uruchamiania poleceń.
Po stronie instytucji finansowych warto wzmacniać systemy antyfraudowe, analizować anomalie logowania oraz rozwijać zabezpieczenia odporne na phishing i przechwytywanie sesji. Szczególne znaczenie ma ograniczenie zależności od pojedynczego hasła oraz lepsze wykrywanie fałszywych ekranów logowania.
Podsumowanie
VENON potwierdza, iż ekosystem trojanów bankowych w Ameryce Łacińskiej przez cały czas gwałtownie się rozwija i adaptuje nowoczesne technologie. Połączenie implementacji w Rust, mechanizmów unikania detekcji, DLL side-loadingu, komunikacji WebSocket i selektywnych overlayów wskazuje na dojrzałe narzędzie zaprojektowane z myślą o skutecznej kradzieży danych finansowych.
Dla obrońców to sygnał, iż sama detekcja sygnaturowa nie wystarczy. Konieczne jest skupienie się na analizie zachowania, korelacji telemetrii i obserwacji subtelnych anomalii, takich jak zmiany skrótów, nietypowe łańcuchy uruchomienia oraz aktywacja złośliwych funkcji dopiero podczas korzystania z bankowości elektronicznej.
Źródła
- The Hacker News — https://thehackernews.com/2026/03/rust-based-venon-malware-targets-33.html
- TecMundo — https://www.tecmundo.com.br/seguranca/411482-venon-malware-brasileiro-troca-seu-pix-na-hora-do-pagamento.htm
- Wikipedia: Grandoreiro — https://en.wikipedia.org/wiki/Grandoreiro_%28Banking_Trojan%29
- Sophos News — https://news.sophos.com/en-us/2025/10/10/whatsapp-worm-targets-brazilian-banking-customers/
- WeLiveSecurity — https://www.welivesecurity.com/2021/04/06/janeleiro-time-traveler-new-old-banking-trojan-brazil/
