Бразильская компания ZenoX, специализирующаяся на кибербезопасности, обнаружила в прошлом месяце ранее неизвестное вредоносное ПО, которое получило название VENON. Программа нацелена на пользователей Windows в Бразилии и охотится за учётными данными клиентов 33 финансовых учреждений и платформ цифровых активов. Самое примечательное здесь — язык разработки. Латиноамериканские банковские трояны десятилетиями писались на Delphi. Grandoreiro, Mekotio, Coyote — все они выросли из этой экосистемы. VENON же написан на Rust, и это по-настоящему ломает привычную картину регионального киберкрима.
Исследователи ZenoX полагают, что разработчик VENON использовал генеративный ИИ для переноса функциональности существующих Delphi-троянов в Rust. Язык Rust требует серьёзного технического опыта, и подобный «перевод» вручную занял бы значительно больше времени. Анализ кода выявил полные пути из среды разработки, в которых фигурирует имя пользователя «byst4» (например,
Цепочка заражения начинается, предположительно, с приёмов социальной инженерии вроде ClickFix, когда жертву обманом убеждают скачать ZIP-архив. Дальше в дело вступает скрипт PowerShell, который обрабатывает полезную нагрузку. Запуск вредоносной DLL-библиотеки происходит через технику DLL side-loading — когда легитимная программа загружает подменённую библиотеку вместо настоящей.
Прежде чем приступить к основной вредоносной деятельности, VENON последовательно выполняет девять техник уклонения от обнаружения. Среди них — проверки на запуск в песочнице (anti-sandbox checks), непрямые системные вызовы (indirect syscalls), обход механизма трассировки событий Windows (ETW bypass) и обход интерфейса антивирусного сканирования (AMSI bypass). Такое количество эшелонов защиты для одного трояна — это много, даже по меркам зрелых вредоносных семейств.
После успешного прохождения всех проверок VENON обращается к URL-адресу на Google Cloud Storage за конфигурацией, устанавливает запланированную задачу в системе и открывает WebSocket-соединение с командным сервером (C2). Малварь отслеживает заголовки окон и активные домены в браузере, чтобы в нужный момент подсунуть жертве фальшивое окно для ввода логина и пароля — так называемый credential-stealing overlay.
Отдельного внимания заслуживает механизм подмены ярлыков. Из DLL-библиотеки извлекаются два блока на Visual Basic Script, которые заменяют легитимные системные ярлыки (LNK) на модифицированные. Конкретная мишень — банковское приложение Itaú. Когда пользователь кликает по привычному ярлыку, запускается не оригинальная программа, а вредоносная копия. Причём VENON предусматривает и обратный ход: он умеет восстанавливать исходные ярлыки по удалённой команде, затирая следы присутствия.
Появление VENON совпало по времени с другой кампанией, о которой сообщила компания Blackpoint Cyber. В Бразилии распространяется червь SORVEPOTEL, использующий десктопную веб-версию WhatsApp для доставки вредоносных ссылок. Червь эксплуатирует уже аутентифицированные чаты — то есть жертва получает зараженное сообщение от знакомого контакта, что резко повышает вероятность перехода по ссылке.
SORVEPOTEL распространяет сразу несколько семейств банковских троянов: Maverick, Casbaneiro и Astaroth. Технически он опирается на локальные средства автоматизации, «бесхозные» браузерные драйверы и среды исполнения, доступные для записи обычному пользователю. Цепочка заражения многоступенчатая, а имплант Astaroth способен выполняться целиком в оперативной памяти, что серьёзно затрудняет его обнаружение традиционными средствами.
Два параллельных вектора атаки — VENON через социальную инженерию и SORVEPOTEL через WhatsApp — рисуют довольно тревожную картину для бразильского финансового сектора. Переход на Rust с применением генеративного ИИ, девять уровней уклонения от анализа, использование облачной инфраструктуры Google для хранения конфигурации — всё это говорит о том, что порог входа для создания сложного вредоносного ПО в регионе заметно снижается. Инструменты стали доступнее, а защитным решениям теперь приходится иметь дело с малварью, которая сознательно рассчитана на обход каждого известного эшелона защиты.
Изображение носит иллюстративный характер
Исследователи ZenoX полагают, что разработчик VENON использовал генеративный ИИ для переноса функциональности существующих Delphi-троянов в Rust. Язык Rust требует серьёзного технического опыта, и подобный «перевод» вручную занял бы значительно больше времени. Анализ кода выявил полные пути из среды разработки, в которых фигурирует имя пользователя «byst4» (например,
C:\Users\byst4\...). Привязать этот никнейм к какой-либо известной группировке пока не удалось. Самая ранняя обнаруженная версия VENON датирована январём 2026 года. Цепочка заражения начинается, предположительно, с приёмов социальной инженерии вроде ClickFix, когда жертву обманом убеждают скачать ZIP-архив. Дальше в дело вступает скрипт PowerShell, который обрабатывает полезную нагрузку. Запуск вредоносной DLL-библиотеки происходит через технику DLL side-loading — когда легитимная программа загружает подменённую библиотеку вместо настоящей.
Прежде чем приступить к основной вредоносной деятельности, VENON последовательно выполняет девять техник уклонения от обнаружения. Среди них — проверки на запуск в песочнице (anti-sandbox checks), непрямые системные вызовы (indirect syscalls), обход механизма трассировки событий Windows (ETW bypass) и обход интерфейса антивирусного сканирования (AMSI bypass). Такое количество эшелонов защиты для одного трояна — это много, даже по меркам зрелых вредоносных семейств.
После успешного прохождения всех проверок VENON обращается к URL-адресу на Google Cloud Storage за конфигурацией, устанавливает запланированную задачу в системе и открывает WebSocket-соединение с командным сервером (C2). Малварь отслеживает заголовки окон и активные домены в браузере, чтобы в нужный момент подсунуть жертве фальшивое окно для ввода логина и пароля — так называемый credential-stealing overlay.
Отдельного внимания заслуживает механизм подмены ярлыков. Из DLL-библиотеки извлекаются два блока на Visual Basic Script, которые заменяют легитимные системные ярлыки (LNK) на модифицированные. Конкретная мишень — банковское приложение Itaú. Когда пользователь кликает по привычному ярлыку, запускается не оригинальная программа, а вредоносная копия. Причём VENON предусматривает и обратный ход: он умеет восстанавливать исходные ярлыки по удалённой команде, затирая следы присутствия.
Появление VENON совпало по времени с другой кампанией, о которой сообщила компания Blackpoint Cyber. В Бразилии распространяется червь SORVEPOTEL, использующий десктопную веб-версию WhatsApp для доставки вредоносных ссылок. Червь эксплуатирует уже аутентифицированные чаты — то есть жертва получает зараженное сообщение от знакомого контакта, что резко повышает вероятность перехода по ссылке.
SORVEPOTEL распространяет сразу несколько семейств банковских троянов: Maverick, Casbaneiro и Astaroth. Технически он опирается на локальные средства автоматизации, «бесхозные» браузерные драйверы и среды исполнения, доступные для записи обычному пользователю. Цепочка заражения многоступенчатая, а имплант Astaroth способен выполняться целиком в оперативной памяти, что серьёзно затрудняет его обнаружение традиционными средствами.
Два параллельных вектора атаки — VENON через социальную инженерию и SORVEPOTEL через WhatsApp — рисуют довольно тревожную картину для бразильского финансового сектора. Переход на Rust с применением генеративного ИИ, девять уровней уклонения от анализа, использование облачной инфраструктуры Google для хранения конфигурации — всё это говорит о том, что порог входа для создания сложного вредоносного ПО в регионе заметно снижается. Инструменты стали доступнее, а защитным решениям теперь приходится иметь дело с малварью, которая сознательно рассчитана на обход каждого известного эшелона защиты.
