Nguyễn Tiến Đạt
Intern Writer
Các nhà nghiên cứu an ninh mạng đã phát hiện một phần mềm độc hại ngân hàng mới có tên VENON, được viết bằng ngôn ngữ Rust, nhắm mục tiêu vào người dùng tại Brazil. Đây được xem là một bước thay đổi đáng chú ý so với nhiều dòng malware ngân hàng trước đây ở Mỹ Latinh vốn thường được viết bằng Delphi.
Phần mềm độc hại này được thiết kế để lây nhiễm vào hệ thống Microsoft Windows và được phát hiện lần đầu vào tháng 2/2026 bởi công ty an ninh mạng Brazil ZenoX.
Theo các chuyên gia, VENON có nhiều điểm tương đồng với các họ malware ngân hàng từng hoạt động mạnh tại khu vực như Grandoreiro, Mekotio và Coyote. Những điểm tương đồng này thể hiện qua cơ chế lớp phủ giả mạo (overlay), giám sát cửa sổ hoạt động và kỹ thuật chiếm quyền lối tắt hệ thống.
Trước khi thực hiện các hành vi độc hại, malware này triển khai ít nhất 9 kỹ thuật né tránh, bao gồm:
Một chi tiết đáng chú ý là trong một phiên bản cũ của malware có các đường dẫn từ môi trường phát triển của tác giả, cho thấy tên người dùng Windows “byst4”, hé lộ một phần thông tin về môi trường lập trình của kẻ phát triển.
Khi đó, nó hiển thị các lớp phủ đăng nhập giả mạo nhằm đánh cắp thông tin đăng nhập và dữ liệu xác thực của nạn nhân.
Ngoài ra, malware còn triển khai cơ chế chiếm quyền lối tắt hệ thống thông qua hai đoạn mã Visual Basic Script, đặc biệt nhắm vào ứng dụng ngân hàng Itaú Unibanco. Các lối tắt hợp pháp sẽ bị thay thế bằng phiên bản chỉnh sửa để chuyển hướng người dùng đến trang web do tin tặc kiểm soát.
Một tính năng khác cho phép kẻ tấn công gỡ cài đặt malware và khôi phục các lối tắt ban đầu nhằm xóa dấu vết sau khi hoàn thành chiến dịch.
Song song với đó, các chuyên gia cũng ghi nhận một chiến dịch khác lợi dụng WhatsApp tại Brazil để phát tán sâu máy tính SORVEPOTEL, từ đó triển khai các malware ngân hàng như Astaroth.
Các nhà nghiên cứu cảnh báo rằng sự kết hợp giữa tự động hóa, trình duyệt không giám sát và môi trường chạy do người dùng tạo ra đã khiến hệ thống dễ bị lợi dụng, giúp malware có thể lây nhiễm và hoạt động với rất ít rào cản.(thehackernews)
Phần mềm độc hại này được thiết kế để lây nhiễm vào hệ thống Microsoft Windows và được phát hiện lần đầu vào tháng 2/2026 bởi công ty an ninh mạng Brazil ZenoX.
Theo các chuyên gia, VENON có nhiều điểm tương đồng với các họ malware ngân hàng từng hoạt động mạnh tại khu vực như Grandoreiro, Mekotio và Coyote. Những điểm tương đồng này thể hiện qua cơ chế lớp phủ giả mạo (overlay), giám sát cửa sổ hoạt động và kỹ thuật chiếm quyền lối tắt hệ thống.
Kỹ thuật tấn công và khả năng né tránh
Theo phân tích của ZenoX, VENON được phát tán thông qua chuỗi lây nhiễm sử dụng kỹ thuật tải DLL từ bên ngoài. Nạn nhân được lừa tải xuống một tệp ZIP chứa mã độc thông qua các chiêu thức kỹ thuật xã hội, sau đó một tập lệnh PowerShell sẽ kích hoạt DLL độc hại.Trước khi thực hiện các hành vi độc hại, malware này triển khai ít nhất 9 kỹ thuật né tránh, bao gồm:
- Kiểm tra môi trường sandbox
- Gọi hệ thống gián tiếp
- Vượt qua cơ chế AMSI
- Vượt qua ETW
Một chi tiết đáng chú ý là trong một phiên bản cũ của malware có các đường dẫn từ môi trường phát triển của tác giả, cho thấy tên người dùng Windows “byst4”, hé lộ một phần thông tin về môi trường lập trình của kẻ phát triển.
Nhắm vào 33 tổ chức tài chính
VENON được thiết kế để nhắm tới 33 tổ chức tài chính và nền tảng tài sản số tại Brazil. Malware theo dõi tiêu đề cửa sổ và tên miền trình duyệt đang hoạt động, chỉ kích hoạt khi người dùng mở các trang web ngân hàng mục tiêu.Khi đó, nó hiển thị các lớp phủ đăng nhập giả mạo nhằm đánh cắp thông tin đăng nhập và dữ liệu xác thực của nạn nhân.
Ngoài ra, malware còn triển khai cơ chế chiếm quyền lối tắt hệ thống thông qua hai đoạn mã Visual Basic Script, đặc biệt nhắm vào ứng dụng ngân hàng Itaú Unibanco. Các lối tắt hợp pháp sẽ bị thay thế bằng phiên bản chỉnh sửa để chuyển hướng người dùng đến trang web do tin tặc kiểm soát.
Một tính năng khác cho phép kẻ tấn công gỡ cài đặt malware và khôi phục các lối tắt ban đầu nhằm xóa dấu vết sau khi hoàn thành chiến dịch.
Song song với đó, các chuyên gia cũng ghi nhận một chiến dịch khác lợi dụng WhatsApp tại Brazil để phát tán sâu máy tính SORVEPOTEL, từ đó triển khai các malware ngân hàng như Astaroth.
Các nhà nghiên cứu cảnh báo rằng sự kết hợp giữa tự động hóa, trình duyệt không giám sát và môi trường chạy do người dùng tạo ra đã khiến hệ thống dễ bị lợi dụng, giúp malware có thể lây nhiễm và hoạt động với rất ít rào cản.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview