Rust恶意软件VENON攻击33家巴西银行窃取凭据

网络安全研究人员披露了一种针对巴西用户的新型银行恶意软件的详细信息，该软件使用Rust语言编写，这标志着与拉丁美洲网络犯罪生态系统相关的其他已知基于Delphi的恶意软件家族出现重大转变。

这款恶意软件旨在感染Windows系统，于上月首次被发现，巴西网络安全公司ZenoX将其代号命名为VENON。

VENON的显著特点是它具有与针对该地区的成熟银行木马一致的行为模式，如Grandoreiro、Mekotio和Coyote，特别是在银行覆盖逻辑、活动窗口监控和快捷方式劫持机制等功能方面。

该恶意软件尚未归属于任何此前记录的组织或活动。然而，研究人员发现了该恶意软件的早期版本（可追溯至2026年1月），暴露了恶意软件作者开发环境的完整路径。这些路径反复引用Windows机器用户名"byst4"（例如"C:\Users\byst4\..."）。

ZenoX表示："Rust代码结构呈现的模式表明，开发者熟悉现有拉丁美洲银行木马的功能，但使用生成式AI在Rust中重写和扩展了这些功能，而Rust是一种需要丰富技术经验才能达到观察到的复杂程度的语言。"

VENON通过复杂的感染链传播，使用DLL侧加载技术启动恶意DLL。据推测，该活动利用ClickFix等社会工程学手段，诱骗用户通过PowerShell脚本下载包含有效载荷的ZIP压缩包。

一旦DLL执行，它会执行九种规避技术，包括反沙盒检查、间接系统调用、ETW绕过、AMSI绕过，然后才开始实际的恶意行为。它还会连接到Google Cloud存储URL以检索配置、安装计划任务，并建立与命令控制服务器的WebSocket连接。

从DLL中还提取出两个Visual Basic脚本块，专门针对Itaú银行应用程序实现快捷方式劫持机制。这些组件通过将合法的系统快捷方式替换为篡改版本来工作，将受害者重定向到威胁行为者控制的网页。

该攻击还支持卸载步骤以撤销修改，表明操作可以由攻击者远程控制，将快捷方式恢复到原始状态以掩盖痕迹。

总的来说，这款银行恶意软件能够通过监控窗口标题和活动浏览器域名来锁定33家金融机构和数字资产平台，只有在打开任何目标应用程序或网站时才会启动行动，通过提供虚假覆盖层来便于凭据盗窃。

这一披露发生在威胁行为者利用WhatsApp在巴西的普及性，通过消息平台的桌面网页版本传播名为SORVEPOTEL的蠕虫的活动期间。攻击依赖于滥用先前经过身份验证的聊天来直接向受害者传递恶意诱饵，最终导致部署Maverick、Casbaneiro或Astaroth等银行恶意软件。

Blackpoint Cyber表示："通过被劫持的SORVEPOTEL会话传递的单条WhatsApp消息就足以将受害者拖入多阶段链条，最终导致Astaroth植入程序完全在内存中运行。""本地自动化工具、无监督浏览器驱动程序和用户可写运行时的结合创造了一个异常宽松的环境，使蠕虫和最终有效载荷都能以最小的阻力建立自己。"

Q&A

Q1：VENON恶意软件有什么特殊之处？

A：VENON恶意软件使用Rust语言编写，这标志着与拉丁美洲网络犯罪生态系统相关的恶意软件出现重大转变。它具有银行覆盖逻辑、活动窗口监控和快捷方式劫持机制等功能，能够攻击33家金融机构和数字资产平台。

Q2：VENON是如何传播和感染系统的？

A：VENON通过复杂的感染链传播，使用DLL侧加载技术启动恶意DLL。攻击者利用ClickFix等社会工程学手段诱骗用户下载包含有效载荷的ZIP压缩包，一旦执行就会进行九种规避技术来逃避检测。

Q3：SORVEPOTEL蠕虫是如何利用WhatsApp传播恶意软件的？

A：SORVEPOTEL蠕虫利用WhatsApp在巴西的普及性，通过消息平台的桌面网页版本传播。攻击者滥用先前经过身份验证的聊天来直接向受害者传递恶意诱饵，最终导致部署Maverick、Casbaneiro或Astaroth等银行恶意软件。