Devis de remise multi-licences
Données concernant les menaces Logiciels malveillants mobiles Logiciel malveillant bancaire VENON

Logiciel malveillant bancaire VENON

Par Mezo en Logiciels malveillants mobiles, Cheval de Troie bancaire
Se traduisent par :

Des chercheurs en cybersécurité ont mis au jour une nouvelle campagne de logiciels malveillants ciblant des utilisateurs du secteur bancaire au Brésil. Ce logiciel malveillant, nommé VENON, marque un tournant notable dans l'écosystème de la cybercriminalité régionale, car il est écrit en Rust, un langage de programmation, et non en Delphi, comme c'était le cas traditionnellement.

Ce changement d'approche en matière de développement représente une évolution significative dans le domaine des logiciels malveillants bancaires en Amérique latine, qui s'appuyaient historiquement sur des frameworks basés sur Delphi. VENON cible spécifiquement les environnements Windows et a été découvert initialement en février 2026.

Parallèles comportementaux avec les chevaux de Troie bancaires établis

Malgré son langage d'implémentation moderne, VENON présente des comportements opérationnels similaires à ceux de chevaux de Troie bancaires latino-américains bien connus tels que Grandoreiro, Mekotio et Coyote.

Le logiciel malveillant intègre plusieurs fonctionnalités généralement associées à ces menaces :

  • Logique de superposition bancaire conçue pour imiter les interfaces financières légitimes
  • Surveillance active des fenêtres pour détecter les applications ou sites web bancaires ciblés
  • Les mécanismes de détournement de raccourcis (LNK) permettent de rediriger les victimes vers une infrastructure malveillante.

Ces similitudes suggèrent que VENON a été conçu en tenant compte des modes opératoires utilisés par les campagnes de logiciels malveillants bancaires existantes dans la région.

Pistes de développement et utilisation possible de l’IA générative

La campagne n'a pas encore été formellement attribuée à un acteur malveillant connu ou à un groupe de cybercriminels. Cependant, l'analyse forensique d'une version antérieure datant de janvier 2026 a révélé des traces de l'environnement du développeur intégrées au fichier binaire. Les chemins d'accès aux fichiers font référence de manière répétée à un profil utilisateur Windows nommé « byst4 », par exemple C:\Users\byst4..., ce qui pourrait fournir des informations sur la configuration de développement de l'acteur malveillant.

L'analyse du code révèle une structure cohérente avec les techniques utilisées par les développeurs connaissant déjà les logiciels malveillants ciblant les banques latino-américaines. Par ailleurs, le code source suggère l'utilisation possible d'outils d'IA générative pour remanier ou étendre des fonctionnalités existantes en Rust. La mise en œuvre de telles fonctionnalités en Rust exige une expertise technique considérable, soulignant la sophistication du projet.

Chaîne d’infection à plusieurs étapes et tactiques d’évasion

VENON est diffusé via une chaîne d'infection soigneusement structurée qui exécute une bibliothèque de liens dynamiques malveillante par chargement latéral de DLL. La campagne utiliserait des techniques d'ingénierie sociale similaires à ClickFix pour inciter les victimes à télécharger une archive ZIP contenant le code malveillant.

L'exécution commence par un script PowerShell qui récupère et lance les composants malveillants. Avant toute activité malveillante, la DLL met en œuvre un ensemble complet de mesures de protection :

  • Contrôles anti-bac à sable
  • Appels système indirects pour contourner la surveillance de sécurité
  • techniques de contournement d'ETW (Event Tracing for Windows)
  • mécanismes de contournement de l'AMSI (Antimalware Scan Interface)
  • Des routines anti-analyse supplémentaires constituent un total de neuf stratégies d'évasion

Après avoir passé ces vérifications, le logiciel malveillant récupère des données de configuration depuis une ressource hébergée dans le cloud et stockée sur l'infrastructure Google Cloud. Il installe ensuite une tâche planifiée pour assurer sa persistance et établit une connexion WebSocket avec son serveur de commande et de contrôle.

Détournement ciblé de raccourcis contre le logiciel bancaire Itaú

La DLL malveillante contient également deux scripts intégrés écrits en Visual Basic Script. Ces scripts mettent en œuvre une opération de détournement de raccourci ciblée visant spécifiquement l'application de bureau d'Itaú Unibanco.

Ce mécanisme remplace les raccourcis système légitimes par des versions manipulées qui redirigent les victimes vers des pages web contrôlées par l'attaquant et conçues pour dérober des informations financières sensibles. Cette approche ciblée révèle un intérêt marqué pour les plateformes bancaires à forte valeur ajoutée au Brésil.

Il est intéressant de noter que le logiciel malveillant intègre une fonction de désinstallation permettant de restaurer les raccourcis d'origine. Cette fonctionnalité implique un contrôle à distance et permet aux attaquants d'effacer toute trace de compromission une fois l'opération terminée.

Stratégie de ciblage financier à grande échelle et de vol d’identifiants

VENON est conçu pour surveiller les titres des fenêtres actives et les domaines des navigateurs, ce qui lui permet de détecter l'accès des utilisateurs aux services financiers. Ce logiciel malveillant est configuré pour reconnaître les activités impliquant 33 institutions financières et plateformes d'actifs numériques.

Une fois l'application ou le site web ciblé détecté, le logiciel malveillant déploie des écrans superposés frauduleux imitant les interfaces de connexion légitimes. Les victimes interagissant avec ces écrans transmettent sans le savoir leurs identifiants directement aux attaquants, permettant ainsi la prise de contrôle de leurs comptes et le vol de leurs données financières.

Tendance

Le plus regardé

Chargement...