Banking-MalwareSchwachstellenCyberkriminalität

Neue Rust-basierte Banking-Malware VENON zielt auf 33 brasilianische Banken ab

Neue Rust-basierte Banking-Malware VENON zielt auf 33 brasilianische Banken ab
Zusammenfassung

Die neu entdeckte Banking-Malware VENON stellt eine signifikante Bedrohung für südamerikanische Nutzer dar und markiert eine Verschiebung im Bedrohungslandschaft Lateinamerikas. Die in Rust programmierte Schadsoftware wurde erstmals im letzten Monat identifiziert und zielt gezielt auf 33 brasilianische Finanzinstitute sowie digitale Asset-Plattformen ab. Besonders bemerkenswert ist die Verwendung von Rust statt der traditionell dominierenden Programmiersprache Delphi, was auf eine technisch versierte Entwicklergruppe hindeutet, die möglicherweise generative KI zur Erstellung sophistizierter Banking-Trojaner-Funktionalitäten nutzte. VENON verbreitet sich durch eine mehrstufige Infektionskette mit DLL-Sideloading und Social-Engineering-Techniken wie ClickFix, um Nutzer zum Download manipulierter Archive zu bewegen. Nach der Ausführung implementiert die Malware neun Evasionsmechanismen, darunter Anti-Sandbox-Checks und AMSI-Bypass-Techniken, bevor sie ihre destruktiven Aktivitäten entfaltet. Die Besorgnis erregend ist der Shortcut-Hijacking-Mechanismus, der speziell das Itaú-Banking-Portal attackiert und Nutzer auf gefälschte Websites umleitet. Obwohl VENON primär brasilianische Ziele adressiert, zeigen die zunehmend ausgefeilten Techniken und die Kombination mit anderen Banking-Malware-Kampagnen wie SORVEPOTEL, dass deutsche Unternehmen und Nutzer mit internationalen Verflechtungen nach Lateinamerika verstärkt Aufmerksamkeit auf solche regional fokussierten Bedrohungen richten sollten.

Die Entdeckung von VENON zeigt eine beunruhigende Entwicklung in der Cyberkriminalitätslandschaft. Während das Malware-Sample primär brasilianische Ziele bedroht, verdeutlicht sein technisches Design universelle Angriffsmuster, die weltweit relevant sind. Besonders interessant ist die Verwendung von Rust als Entwicklungssprache. Laut ZenoX nutzte der oder die Entwickler vermutlich generative KI-Tools, um bewährte Banking-Trojaner-Funktionalitäten in Rust neu zu implementieren – ein aufwendiger, aber effektiver Ansatz zur Umgehung traditioneller Signaturen.

Die Infektionskette von VENON ist hochgradig ausgefeilert. Das Schadprogramm wird über DLL-Side-Loading verbreitet, wobei Cyberkriminelle offenbar Social-Engineering-Taktiken wie ClickFix nutzen, um Nutzer zum Download manipulierter ZIP-Archive zu bewegen. Diese enthalten über PowerShell-Skripte die eigentlichen Schad-DLLs.

Einmal ausgeführt, entfaltet VENON eine beeindruckende Reihe von neun Evadierungstechniken. Dazu gehören Anti-Sandbox-Checks, indirekte Syscalls, ETW-Bypass und AMSI-Bypass – allesamt Mechanismen, die das Malware-Sample vor Sicherheitsanalysen und Endpoint-Detection-Response-Lösungen schützen sollen. Danach verbindet sich VENON mit einer Google Cloud Storage URL, um Konfigurationen zu laden, installiert sich als geplante Aufgabe und etabliert eine WebSocket-Verbindung zu ihrem Command-and-Control-Server.

Besonders raffiniert ist das Shortcut-Hijacking-Modul, das speziell auf die Itaú-Banking-App abzielt. Es ersetzt legitime System-Shortcuts durch manipulierte Versionen, die Opfer auf Phishing-Seiten umleiten. Das Malware-Paket enthält zudem ein Rückgängig-Machen-Modul – der Operator kann remote alle Änderungen rückgängig machen, um Spuren zu verwischen.

VENON ist in der Lage, 33 Finanzinstitute und Kryptowährungsplattformen ins Visier zu nehmen. Das Malware-Sample überwacht Fentertitel und Browser-Domains und aktiviert sich nur, wenn eines der Ziele geöffnet wird – dann zeigt es gefälschte Banking-Overlays an, um Anmeldedaten zu stehlen.

Die Entdeckung erfolgt vor dem Hintergrund eines anderen besorgniserregenden Trends: Der Wurm SORVEPOTEL wird über WhatsApp verbreitet und nutzt den Desktop-Web-Client, um Banking-Malware wie Maverick, Casbaneiro oder Astaroth bereitzustellen. Ein einzelnes manipuliertes WhatsApp-Bild genügt bereits für eine mehrstufige Infektionskette.

Ähnliche Artikel