VENON: Malware en Rust ataca 33 bancos brasileños robando credenciales
Publicado el
Descubrimiento del Malware VENON
Investigadores de ciberseguridad han revelado detalles sobre VENON, un malware diseñado para atacar a usuarios brasileños, escrito en Rust, lo que representa un cambio significativo respecto a las familias de malware basadas en Delphi que se han visto en el ecosistema del cibercrimen en América Latina. Este malware, que infecta sistemas Windows, fue identificado por primera vez el mes pasado y lleva el nombre de VENON, otorgado por la empresa brasileña de ciberseguridad ZenoX.
Características del Malware
VENON se destaca por compartir comportamientos comunes con troyanos bancarios establecidos en la región, como Grandoreiro, Mekotio y Coyote. Entre sus características se incluyen la lógica de superposición bancaria, la monitorización de ventanas activas y un mecanismo de secuestro de accesos directos (LNK). Aunque el malware no se ha atribuido a ningún grupo o campaña previamente documentada, se han encontrado versiones anteriores que exponen rutas completas del entorno de desarrollo del autor, haciendo referencia repetidamente a un nombre de usuario de Windows: byst4.
Distribución y Técnicas de Evasión
VENON se distribuye a través de una sofisticada cadena de infección que utiliza DLL side-loading para ejecutar una DLL maliciosa. Se sospecha que la campaña emplea técnicas de ingeniería social como ClickFix para engañar a los usuarios y hacer que descarguen un archivo ZIP que contiene la carga maliciosa mediante un script de PowerShell. Una vez ejecutada la DLL, VENON lleva a cabo nueve técnicas de evasión, incluyendo chequeos anti-sandbox, llamadas indirectas al sistema (syscalls), bypass de ETW y AMSI, antes de iniciar cualquier acción maliciosa.
Además, el malware se conecta a una URL de Google Cloud Storage para obtener una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2). También se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos, dirigido exclusivamente a la aplicación bancaria Itaú. Este componente reemplaza los accesos directos legítimos del sistema por versiones manipuladas que redirigen a la víctima a una página web controlada por el atacante.
Objetivos y Métodos de Distribución
El malware está diseñado para atacar 33 instituciones financieras y plataformas de activos digitales, monitorizando el título de la ventana y el dominio del navegador activo. Se activa únicamente al abrir aplicaciones o sitios web de los objetivos, facilitando el robo de credenciales mediante la presentación de superposiciones falsas. Acassio Silva, investigador de inteligencia sobre amenazas en ZenoX, ha indicado que ClickFix es uno de los dos vectores distintos a través de los cuales se distribuye el malware. Aunque el uso de ClickFix parece ser esporádico, un método más prevalente en Brasil implica el uso de vídeos de YouTube dirigidos a jugadores.
Los vídeos suelen presentarse como tutoriales para resolver problemas gráficos o errores de lanzamiento en juegos populares como Perfect World. En las descripciones de los vídeos, se dirige a las víctimas a descargar lo que se presenta como la versión correcta del controlador de NVIDIA. Sin embargo, el paquete descargado contiene un ejecutable de notificación de controlador que parece legítimo junto a la DLL maliciosa, que se carga a través de DLL side-loading.
Amenazas Emergentes en WhatsApp
Este descubrimiento se produce en un contexto donde los actores de amenazas están explotando la popularidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de la plataforma de mensajería. El ataque se basa en abusar de chats autenticados previamente para entregar señuelos maliciosos directamente a las víctimas, lo que resulta en la implementación de malware bancario como Maverick, Casbaneiro o Astaroth. Según Blackpoint Cyber, un solo mensaje de WhatsApp enviado a través de una sesión secuestrada de SORVEPOTEL fue suficiente para atraer a una víctima a una cadena de múltiples etapas que finalmente resultó en un implante de Astaroth ejecutándose completamente en la memoria.
La combinación de herramientas de automatización local, controladores de navegador no supervisados y entornos ejecutables accesibles por el usuario ha creado un entorno inusualmente permisivo, permitiendo que tanto el gusano como la carga final se establezcan con mínima fricción.