Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Mobile Malware VENON Banking Malware

VENON Banking Malware

Von Mezo in Mobile Malware, Banking-Trojaner
Übersetzen Sie in:

Cybersicherheitsforscher haben eine neue Banking-Malware-Kampagne aufgedeckt, die es auf Nutzer in Brasilien abgesehen hat. Die Malware mit dem Namen VENON markiert eine bemerkenswerte Veränderung im regionalen Cyberkriminalitäts-Ökosystem, da sie in der Programmiersprache Rust und nicht wie bisher in Delphi geschrieben wurde.

Dieser Wechsel im Entwicklungsansatz stellt eine bedeutende Weiterentwicklung lateinamerikanischer Banking-Malware dar, die bisher auf Delphi-basierten Frameworks basierte. VENON zielt speziell auf Windows-Umgebungen ab und wurde erstmals im Februar 2026 entdeckt.

Verhaltensparallelitäten mit etablierten Banktrojanern

Trotz seiner modernen Implementierungssprache weist VENON ein Betriebsverhalten auf, das mit bekannten lateinamerikanischen Banking-Trojanern wie Grandoreiro, Mekotio und Coyote übereinstimmt.

Die Schadsoftware integriert mehrere Funktionen, die typischerweise mit solchen Bedrohungen in Verbindung gebracht werden:

  • Banking-Overlay-Logik, die legitime Finanzschnittstellen imitieren soll.
  • Aktive Fensterüberwachung zur Erkennung gezielter Banking-Anwendungen oder Websites
  • Mechanismen zur Manipulation von Abkürzungen (LNK), um Opfer auf bösartige Infrastruktur umzuleiten.

Diese Ähnlichkeiten lassen vermuten, dass VENON unter Berücksichtigung detaillierter Kenntnisse der Vorgehensweisen bestehender Malware-Kampagnen im Bankwesen in der Region entwickelt wurde.

Entwicklungshinweise und mögliche Anwendungsmöglichkeiten generativer KI

Die Kampagne konnte bisher keinem bekannten Angreifer oder keiner Cyberkriminellengruppe offiziell zugeordnet werden. Eine forensische Analyse einer früheren Version vom Januar 2026 ergab jedoch Spuren der Entwicklerumgebung, die in der Binärdatei eingebettet waren. Dateipfade verweisen wiederholt auf ein Windows-Benutzerprofil mit der Bezeichnung „byst4“, beispielsweise C:\Users\byst4…, was auf mögliche Einblicke in die Entwicklungsumgebung des Angreifers hindeutet.

Die Codeanalyse deutet zudem auf eine Struktur hin, die mit Entwicklern übereinstimmt, die bereits mit Malware-Techniken im lateinamerikanischen Bankensektor vertraut sind. Gleichzeitig lässt die Codebasis den möglichen Einsatz generativer KI-Tools zur Refaktorisierung oder Erweiterung bereits vorhandener Funktionen in Rust vermuten. Die Implementierung solcher Funktionalitäten in Rust erfordert umfangreiches technisches Fachwissen und unterstreicht damit die Komplexität des Projekts.

Mehrstufige Infektionskette und Ausweichtaktiken

VENON wird über eine sorgfältig strukturierte Infektionskette verbreitet, die letztendlich eine schädliche dynamische Linkbibliothek (DLL) durch DLL-Sideloading ausführt. Die Kampagne nutzt vermutlich Social-Engineering-Strategien ähnlich der ClickFix-Technik, um Opfer zum Herunterladen eines ZIP-Archivs mit der Schadsoftware zu bewegen.

Die Ausführung beginnt mit einem PowerShell-Skript, das die schädlichen Komponenten abruft und startet. Bevor die DLL schädliche Aktivitäten ausführt, führt sie eine umfangreiche Reihe von Abwehrmaßnahmen durch:

  • Anti-Sandbox-Prüfungen
  • Indirekte Systemaufrufe zur Umgehung der Sicherheitsüberwachung
  • ETW (Event Tracing for Windows) Umgehungstechniken
  • AMSI (Antimalware Scan Interface) Umgehungsmechanismen
  • Zusätzliche Anti-Analyse-Routinen, die insgesamt neun Umgehungsstrategien bilden

Nach erfolgreichem Bestehen dieser Prüfungen ruft die Schadsoftware Konfigurationsdaten von einer in der Google Cloud-Infrastruktur gespeicherten Cloud-Ressource ab. Anschließend installiert sie eine geplante Aufgabe zur Aufrechterhaltung des Betriebs und stellt eine WebSocket-Verbindung zu ihrem Command-and-Control-Server her.

Gezielte Manipulation von Abkürzungen gegen Itaú-Banking-Software

Die schädliche DLL enthält außerdem zwei eingebettete Skripte, die in Visual Basic Script geschrieben sind. Diese Skripte führen eine gezielte Verknüpfungsmanipulation durch, die speziell auf die Desktop-Anwendung von Itaú Unibanco abzielt.

Der Mechanismus ersetzt legitime Systemverknüpfungen durch manipulierte Versionen, die Opfer auf von Angreifern kontrollierte Webseiten umleiten, welche sensible Finanzdaten abfangen sollen. Dieses gezielte Vorgehen deutet auf einen starken Fokus auf hochwertige Bankplattformen in Brasilien hin.

Interessanterweise verfügt die Schadsoftware über eine Deinstallationsfunktion, die die ursprünglichen Verknüpfungen wiederherstellen kann. Diese Funktionalität ermöglicht die Fernsteuerung durch einen Benutzer und erlaubt es Angreifern, nach Abschluss der Operation alle Spuren der Kompromittierung zu beseitigen.

Strategie für breit angelegte Finanzangriffe und Identitätsdiebstahl

VENON wurde entwickelt, um sowohl aktive Fenstertitel als auch Browserdomänen zu überwachen und so zu erkennen, wann Nutzer auf Finanzdienstleistungen zugreifen. Die Malware ist so konfiguriert, dass sie Aktivitäten im Zusammenhang mit 33 Finanzinstituten und Plattformen für digitale Vermögenswerte erkennt.

Sobald eine Zielanwendung oder -website erkannt wird, blendet die Schadsoftware gefälschte Overlay-Bildschirme ein, die legitime Anmeldeoberflächen imitieren. Opfer, die mit diesen Overlays interagieren, übermitteln unwissentlich ihre Zugangsdaten direkt an die Angreifer, wodurch diese Kontoübernahmen und finanzielle Verluste ermöglichen.

Im Trend

Am häufigsten gesehen

Wird geladen...