Il malware bancario VENON sta attirando molta attenzione nel panorama della cybersecurity perché rappresenta un cambio di passo nelle minacce rivolte agli utenti brasiliani. A differenza di molte famiglie storiche di trojan bancari diffuse in America Latina, spesso sviluppate con tecnologie più datate, VENON è scritto in Rust e prende di mira sistemi Windows con una catena di infezione studiata per eludere controlli e analisi.

VENON mostra comportamenti tipici dei banking trojan regionali, come la logica di overlay bancari, il monitoraggio della finestra attiva e tecniche di hijacking tramite collegamenti LNK. In pratica il malware osserva titoli delle finestre e domini visitati nel browser e si attiva solo quando rileva l’apertura di siti o applicazioni specifiche legate a banche e piattaforme finanziarie. Questo approccio riduce il rumore e aumenta la probabilità di rubare credenziali con schermate false sovrapposte alle pagine legittime, una tecnica molto efficace nel furto di dati bancari.

La distribuzione avviene tramite una catena di infezione avanzata che include DLL side loading, con l’avvio di una DLL malevola mascherata all’interno di archivi compressi. Un elemento ricorrente in campagne simili è l’uso di ingegneria sociale per convincere la vittima a scaricare e avviare il contenuto, ad esempio attraverso script PowerShell che automatizzano l’esecuzione del payload.

Dopo l’esecuzione, VENON applica diverse tecniche di evasione prima di avviare le azioni malevole. Tra queste compaiono controlli anti-sandbox, meccanismi per rendere più difficile il tracciamento delle chiamate di sistema e bypass di componenti di sicurezza usati per analizzare script e telemetria. Solo dopo questa fase il malware recupera una configurazione remota, imposta persistenza tramite operazioni pianificate e stabilisce comunicazioni con il server di comando e controllo usando WebSocket.

Un dettaglio rilevante è la presenza di script che implementano un hijacking di scorciatoie mirato a una specifica applicazione bancaria, sostituendo collegamenti legittimi con versioni alterate che reindirizzano a pagine sotto controllo degli attaccanti. È prevista anche una funzione di disinstallazione per ripristinare le modifiche, segnale di un controllo remoto più accurato e di una maggiore attenzione a coprire le tracce.

Nel complesso VENON risulta configurato per colpire 33 istituti finanziari e piattaforme legate ad asset digitali, confermando quanto il settore bancario in Brasile resti un bersaglio prioritario per il cybercrime.