複数ライセンス割引見積
脅威データベース モバイルマルウェア VENON バンキングマルウェア

VENON バンキングマルウェア

モバイルマルウェア, バンキング型トロイの木馬Mezoまで
翻訳内容:

サイバーセキュリティ研究者らは、ブラジルのユーザーを標的とした新たな銀行マルウェア攻撃を発見した。VENONと名付けられたこのマルウェアは、従来使用されてきたDelphiではなくRustプログラミング言語で記述されているため、この地域のサイバー犯罪のエコシステムにおいて注目すべき変化を示している。

この開発手法の変化は、これまでDelphiベースのフレームワークに依存してきたラテンアメリカの銀行系マルウェアにおける大きな進化を意味する。VENONは特にWindows環境を標的としており、2026年2月に初めて発見された。

既存のバンキング型トロイの木馬との行動上の類似点

VENONは最新の実装言語を使用しているにもかかわらず、Grandoreiro、Mekotio、Coyoteといった、よく知られたラテンアメリカのバンキング型トロイの木馬と一致する動作特性を示す。

このマルウェアは、通常これらの脅威に関連付けられるいくつかの機能を統合しています。

  • 正規の金融インターフェースを模倣するように設計された銀行オーバーレイロジック
  • ターゲットとなる銀行アプリケーションやウェブサイトを検出するためのアクティブなウィンドウ監視
  • ショートカット(LNK)を乗っ取るメカニズムにより、被害者を悪意のあるインフラストラクチャに誘導する。

これらの類似点は、VENONが、この地域で既に存在する銀行系マルウェアの攻撃パターンに関する詳細な知識に基づいて設計されたことを示唆している。

生成型AIの開発の手がかりと活用可能性

この攻撃キャンペーンは、既知の脅威アクターやサイバー犯罪グループによるものとは正式には特定されていません。しかし、2026年1月の以前のビルドのフォレンジック分析により、バイナリに開発者の環境の痕跡が埋め込まれていることが明らかになりました。ファイルパスには、C:\Users\byst4...のように、「byst4」というラベルの付いたWindowsユーザープロファイルが繰り返し参照されており、脅威アクターの開発環境に関する情報が得られる可能性を示唆しています。

コード分析の結果、開発者がラテンアメリカの銀行マルウェアの手法に精通していることが示唆される構造が確認された。同時に、コードベースからは、既存の機能をRustにリファクタリングまたは拡張するために、生成型AIツールが使用されている可能性が示唆された。このような機能をRustで実装するには高度な技術力が必要であり、このプロジェクトの高度な技術力が浮き彫りになる。

多段階感染連鎖と回避戦術

VENONは、綿密に構築された感染経路を通じて配信され、最終的にDLLサイドローディングによって悪意のあるダイナミックリンクライブラリ(DLL)を実行します。この攻撃キャンペーンは、ClickFixの手法と同様のソーシャルエンジニアリング戦略を用いて、被害者にペイロードを含むZIPアーカイブをダウンロードさせるように仕向けていると考えられています。

実行は、悪意のあるコンポーネントを取得して起動するPowerShellスクリプトから始まります。DLLは、悪意のある活動を開始する前に、広範な防御回避策を実行します。

  • サンドボックス対策チェック
  • セキュリティ監視を回避するための間接的なシステムコール
  • ETW(Event Tracing for Windows)バイパス技術
  • AMSI(アンチマルウェアスキャンインターフェース)バイパスメカニズム
  • 追加の解析回避ルーチンにより、合計9つの回避戦略が構築される。

これらのチェックを通過した後、マルウェアはGoogle Cloudインフラストラクチャに保存されているクラウドホスト型リソースから構成データを取得します。次に、永続化のためにスケジュールされたタスクをインストールし、コマンド&コントロールサーバーとのWebSocket接続を確立します。

イタウ銀行のソフトウェアに対する標的型ショートカットハイジャック

悪意のあるDLLには、Visual Basic Scriptで記述された2つの埋め込みスクリプトも含まれています。これらのスクリプトは、イタウ・ウニバンコのデスクトップアプリケーションを標的とした、ショートカットの乗っ取り操作を実行します。

この仕組みは、正規のシステムショートカットを改ざんされたバージョンに置き換え、被害者を攻撃者が管理するウェブページにリダイレクトすることで、機密性の高い金融情報を盗み出すことを目的としています。この標的を絞った攻撃手法は、ブラジル国内の高額な銀行プラットフォームを強く狙っていることを示しています。

興味深いことに、このマルウェアにはアンインストール機能があり、元のショートカットを復元できる。この機能はリモート操作による制御を可能にし、攻撃者が操作完了後に侵害の痕跡を消去することを可能にする。

広範な金融標的攻撃および認証情報窃盗戦略

VENONは、アクティブなウィンドウタイトルとブラウザドメインの両方を監視するように設計されており、ユーザーが金融サービスにアクセスしたことを検知できます。このマルウェアは、33の金融機関およびデジタル資産プラットフォームに関連する活動を認識するように設定されています。

標的となるアプリケーションやウェブサイトが検出されると、マルウェアは正規のログイン画面を模倣した偽のオーバーレイ画面を展開します。被害者はこれらのオーバーレイ画面を操作することで、知らず知らずのうちに認証情報を攻撃者に直接送信してしまい、アカウントの乗っ取りや金銭の窃盗につながります。

トレンド

プレクルードストア

不正なウェブサイト, ブラウザハイジャッカー
Precludestore.com は詐欺的なウェブサイトとして識別されており、そのアフィリエイト リンクは信頼できないとみなされています。通常、ユーザーは、ビデオのストリーミング、ソーシャル メディアのスクロール、その他のインターネット タスクの実行など、日常的なオンライン アクティビティ中に、URL を表示する予期しないポップアップ広告を介してこのサイトに遭遇します。ブラウザーを閉じると...

Tarwils.com

不正なウェブサイト, アドウェア
Tarwils.com は、非倫理的な戦術を使用する欺瞞的な Web ページにリンクされている URL です。その主な目標は、戦術を促進し、ユーザーに侵入的なブラウザ通知を配信することを中心に展開されます。さらに、この Web サイトはユーザーを別の Web サイトに誘導する機能を備えている可能性があり、信頼性も安全でもない目的地にユーザーを誘導することがよくあります。ほとんどの場合、不正な...

サッズライフ

不正なウェブサイト, アドウェア
インターネットを利用する際には、オンライン戦術の餌食にならないように注意と警戒が必要です。Suddslife.com のような不正な Web サイトは、オンラインに潜む危険の典型であり、ユーザーの安心と安全を犠牲にして欺瞞的な戦術を使って広告収入を得ています。これらのサイトの仕組みを理解し、注意のサインを認識することで、閲覧中に安全を保つことができます。 Suddslife.com を理解す...

最も見られました

「プリンタドライバが利用できません」エラーを修正する方法

問題
37,730
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...

修正方法「macOSはこのアプリにマルウェアがないことを確認できません」

問題
32,341
Macユーザーは通常、不明な開発者または公式のApp Storeで入手できず、サードパーティのアプリから提供されているアプリケーションをインストールしようとしているときに、「macOSはこのアプリにマルウェアがないことを確認できません」というメッセージが表示されます。licationプラットフォーム。このような場合、Gatekeepと呼ばれる組み込みのMacセキュリティシステムは、特定のアプ...
画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

問題
30,919
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...
読み込んでいます...