概要

サイバーセキュリティ研究者らは、ブラジルのユーザーを標的とする新しい銀行マルウェアの詳細を公開しました。このマルウェアはRustで書かれており、ラテンアメリカのサイバーカルテル生態系で一般的なDelphiベースのマルウェアファミリーとは異なる特徴を持っています。

VENONの特徴

VENONは、ブラジルのセキュリティ企業ZenoXによって発見され、コード構造が既存のラテンアメリカの銀行トロイ木馬と類似していることが判明しました。しかし、VENONは生成AIを使用して、Rustでこれらの機能を再構築し、拡張しています。

感染チェーンと展開方法

VENONは、DLLサイドローディングを使用して悪意のあるDLLを展開する複雑な感染チェーンを用いて配布されます。また、ユーザーをトリックしてZIPアーカイブをダウンロードさせるためのクリックフィックスなどのソーシャルエンジニアリングの手法も使用されています。

機能と攻撃手法

• VENONは、悪意のあるDLLを実行した後、9つの回避技術を実行します。これには、アンチサンボックスチェック、間接的なシステムコール、ETWバイパス、AMSIバイパスなどが含まれます。
• また、Google Cloud Storage URLから設定を取得し、スケジュールされたタスクをインストールし、WebSocket接続を確立してコマンドアンドコントロール(C2)サーバーと通信します。
• さらに、Visual Basic Scriptブロックがショートカットハイジャックメカニズムを実装し、Itaú銀行アプリケーションを標的とします。

標的と攻撃の仕組み

VENONは、33の金融機関やデジタル資産プラットフォームを標的とし、ウィンドウタイトルやアクティブブラウザドメインを監視して、特定のアプリケーションやウェブサイトが開かれたときに偽のオーバーレイを提供して資格情報を盗む仕組みを持っています。

脅威の背景

このマルウェアの発見は、ブラジルでWhatsAppを悪用して銀行マルウェアを配布する攻撃が進行している中でのものであり、脅威アクターがWhatsAppを悪用してマルウェアを配布する手法が広まっていることを示しています。

元記事: https://thehackernews.com/2026/03/rust-based-venon-malware-targets-33.html