Rust-Based VENON Malware Targets 33 Brazilian Banks with Credential-Stealing Overlays

1 minute de lecture

Mis à jour : March 12, 2026

VENON : Un nouveau cheval de Troie bancaire en Rust ciblant le Brésil

Le malware VENON, récemment identifié, cible 33 institutions financières et plateformes d’actifs numériques au Brésil. Développé en Rust, ce logiciel malveillant se distingue par l’utilisation probable d’IA générative pour moderniser les fonctionnalités classiques des trojans bancaires latino-américains (comme Grandoreiro ou Mekotio).

Points clés

Mode opératoire : Utilisation du DLL side-loading pour exécuter une charge utile malveillante après une infection initiale (souvent via des techniques d’ingénierie sociale type ClickFix).
Techniques d’évasion : Le malware intègre neuf couches de défense, incluant le contournement d’AMSI (Antimalware Scan Interface), d’ETW (Event Tracing for Windows) et l’utilisation de syscalls indirects.
Persistance et vol : Il installe des tâches planifiées, surveille l’activité des fenêtres et déploie des superpositions (overlays) frauduleuses pour intercepter les identifiants. Une variante cible spécifiquement les raccourcis de l’application bancaire Itaú.
C2 (Commande et Contrôle) : Établit une connexion WebSocket après récupération de la configuration via Google Cloud Storage.

Vulnérabilités exploitées

Bien qu’aucune CVE spécifique ne soit citée, le malware abuse des mécanismes natifs de Windows :

Détournement de raccourcis (.LNK) : Manipulation des icônes d’application pour rediriger les victimes vers des sites de phishing.
DLL Side-loading : Exploitation de la recherche de bibliothèques dynamiques pour charger du code malveillant au sein d’applications légitimes.

Recommandations

Sensibilisation : Former les utilisateurs à la méfiance vis-à-vis des téléchargements de fichiers ZIP provenant de sources non sollicitées ou de tactiques d’urgence (ClickFix).
Surveillance des processus : Mettre en place une surveillance accrue des exécutions inhabituelles de PowerShell et du chargement suspect de DLLs.
Protection des endpoints : Maintenir les solutions EDR/antivirus à jour pour détecter les comportements d’évasion (AMSI/ETW bypass) et les tentatives de modification des raccourcis système.
Hygiène logicielle : Restreindre les privilèges d’écriture sur les répertoires contenant les raccourcis des applications bancaires critiques.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Rust-Based VENON Malware Targets 33 Brazilian Banks with Credential-Stealing Overlays

VENON : Un nouveau cheval de Troie bancaire en Rust ciblant le Brésil

Points clés

Vulnérabilités exploitées

Recommandations

Partager sur

Vous pourriez aimer

Veeam Patches 7 Critical Backup & Replication Flaws Allowing Remote Code Execution

Vulnérabilités critiques dans Veeam Backup & Replication

Storm-2561 Spreads Trojan VPN Clients via SEO Poisoning to Steal Credentials

Campagne de vol d’identifiants VPN par Storm-2561 via SEO Poisoning

Starbucks discloses data breach affecting hundreds of employees

Violation de données chez Starbucks : 889 comptes employés compromis

RIP RegPwn

RegPwn : Élévation de privilèges via les fonctionnalités d’accessibilité Windows