Peneliti keamanan siber mengungkap kemunculan malware perbankan baru yang menargetkan pengguna di Brasil dan menunjukkan perubahan signifikan dalam lanskap ancaman di kawasan Amerika Latin. Malware tersebut diberi nama VENON oleh perusahaan keamanan siber Brasil, ZenoX, setelah pertama kali terdeteksi pada bulan lalu. Yang membuat temuan ini menonjol bukan hanya karena fungsinya sebagai trojan perbankan, tetapi juga karena bahasa pemrograman yang digunakan dalam pengembangannya. Berbeda dari banyak malware regional yang selama ini ditulis menggunakan Delphi, VENON dibangun menggunakan Rust, sebuah bahasa pemrograman modern yang dikenal memiliki kompleksitas teknis lebih tinggi.
Kemunculan VENON menunjukkan evolusi teknik yang digunakan oleh pelaku kejahatan siber yang menargetkan sektor keuangan di Amerika Latin. Selama bertahun-tahun, ekosistem malware perbankan di kawasan ini didominasi oleh keluarga trojan yang memiliki arsitektur serupa dan sering kali berbagi komponen kode. Contoh yang paling dikenal termasuk Grandoreiro, Mekotio, dan Coyote, yang telah lama digunakan untuk mencuri kredensial perbankan melalui teknik manipulasi antarmuka dan pengawasan aktivitas pengguna. Analisis yang dilakukan oleh ZenoX menemukan bahwa VENON memiliki pola perilaku yang konsisten dengan keluarga malware tersebut, terutama dalam mekanisme overlay perbankan, pemantauan jendela aplikasi aktif, serta teknik hijacking shortcut berbasis file LNK.
Meskipun menunjukkan kesamaan perilaku dengan trojan perbankan lain di kawasan tersebut, para peneliti tidak menemukan keterkaitan langsung antara VENON dengan kelompok atau kampanye yang sebelumnya telah didokumentasikan. Namun, analisis terhadap versi awal artefak malware yang diperkirakan berasal dari Januari 2026 memberikan petunjuk menarik tentang proses pengembangannya. Dalam artefak tersebut ditemukan jalur direktori lengkap dari lingkungan pengembangan yang digunakan oleh pembuat malware, yang berulang kali merujuk pada nama pengguna Windows “byst4”, seperti dalam path “C:\Users\byst4\…”. Temuan ini memberikan indikasi bahwa artefak tersebut kemungkinan dikompilasi langsung dari lingkungan pengembangan pribadi pelaku.
Struktur kode Rust yang digunakan dalam malware ini juga memunculkan hipotesis baru mengenai metode pengembangannya. Menurut ZenoX, pola kode menunjukkan bahwa pengembang kemungkinan sudah familiar dengan kemampuan trojan perbankan Amerika Latin yang telah ada sebelumnya. Namun, mereka tampaknya memanfaatkan teknologi generative AI untuk menulis ulang dan memperluas fungsionalitas malware tersebut dalam bahasa Rust. Penggunaan Rust pada tingkat kompleksitas yang teramati dalam VENON menunjukkan tingkat pengalaman teknis yang cukup tinggi, mengingat bahasa ini umumnya memerlukan pemahaman mendalam tentang manajemen memori dan arsitektur perangkat lunak.
Distribusi VENON dilakukan melalui rantai infeksi yang relatif kompleks dan dirancang untuk menghindari deteksi. Peneliti menemukan bahwa malware ini menggunakan teknik DLL side-loading, sebuah metode yang memanfaatkan aplikasi sah untuk memuat pustaka DLL berbahaya tanpa memicu kecurigaan sistem keamanan. Dalam skenario serangan yang diamati, korban diduga terlebih dahulu diarahkan melalui teknik rekayasa sosial yang mendorong mereka untuk mengunduh arsip ZIP berisi payload malware. Proses tersebut kemungkinan dijalankan melalui skrip PowerShell yang mengeksekusi komponen berbahaya setelah file diunduh.
Setelah DLL berbahaya dijalankan, malware tidak langsung memulai aktivitas berbahaya. Sebaliknya, ia terlebih dahulu menjalankan serangkaian teknik penghindaran deteksi yang dirancang untuk memastikan bahwa lingkungan eksekusi bukan merupakan sandbox atau sistem analisis keamanan. Peneliti mencatat bahwa VENON menerapkan setidaknya sembilan teknik evasion sebelum melanjutkan ke tahap berikutnya. Teknik tersebut meliputi pemeriksaan anti-sandbox, penggunaan syscall tidak langsung untuk menghindari pemantauan sistem, serta bypass terhadap Event Tracing for Windows (ETW) dan Antimalware Scan Interface (AMSI). Pendekatan ini memungkinkan malware untuk menghindari banyak mekanisme deteksi yang biasanya digunakan dalam solusi keamanan endpoint.
Setelah melewati tahap evasion, VENON menghubungi sebuah URL yang dihosting pada layanan Google Cloud Storage untuk mengambil konfigurasi operasionalnya. Malware kemudian memasang scheduled task pada sistem korban guna mempertahankan persistensi. Selain itu, ia juga membangun koneksi WebSocket ke server command-and-control (C2), yang memungkinkan operator mengontrol aktivitas malware secara jarak jauh. Komunikasi ini menjadi jalur utama bagi pelaku untuk mengirim instruksi tambahan atau memperbarui konfigurasi target serangan.
Analisis terhadap komponen DLL juga mengungkap keberadaan dua blok skrip Visual Basic yang berfungsi untuk menjalankan mekanisme hijacking shortcut. Mekanisme ini secara khusus menargetkan aplikasi perbankan milik Itaú, salah satu institusi keuangan terbesar di Brasil. Teknik tersebut bekerja dengan mengganti shortcut sistem yang sah dengan versi yang telah dimodifikasi. Ketika korban mencoba membuka aplikasi perbankan melalui shortcut tersebut, mereka diarahkan ke halaman web yang berada di bawah kendali pelaku ancaman. Dengan cara ini, korban dapat tertipu untuk memasukkan kredensial login mereka pada antarmuka palsu yang tampak identik dengan layanan resmi.
Yang menarik, malware ini juga memiliki kemampuan untuk membatalkan modifikasi yang telah dilakukan sebelumnya. Fitur uninstall tersebut memungkinkan operator mengembalikan shortcut yang telah dimodifikasi ke kondisi semula. Keberadaan fungsi ini menunjukkan bahwa pelaku dapat menghapus jejak operasi mereka secara jarak jauh jika diperlukan, sehingga mengurangi kemungkinan terdeteksi oleh korban atau analis keamanan.
Secara keseluruhan, VENON dirancang untuk menargetkan hingga 33 institusi keuangan dan platform aset digital. Malware memantau judul jendela aplikasi dan domain browser aktif untuk menentukan apakah pengguna sedang mengakses layanan yang menjadi target. Aktivitas berbahaya hanya diaktifkan ketika aplikasi atau situs tertentu terbuka, sebuah strategi yang bertujuan memaksimalkan efektivitas pencurian kredensial. Ketika kondisi tersebut terpenuhi, malware akan menampilkan overlay palsu yang dirancang untuk meniru antarmuka layanan resmi, sehingga korban tidak menyadari bahwa data login mereka sedang dicuri.
Pengungkapan VENON terjadi di tengah meningkatnya aktivitas malware yang menargetkan pengguna di Brasil melalui berbagai platform komunikasi populer. Dalam kampanye terpisah, pelaku ancaman dilaporkan memanfaatkan popularitas WhatsApp untuk menyebarkan worm bernama SORVEPOTEL melalui versi web desktop dari aplikasi tersebut. Serangan ini memanfaatkan sesi percakapan yang sebelumnya telah diautentikasi untuk mengirim pesan berisi umpan berbahaya langsung kepada korban.
Dalam salah satu skenario yang dianalisis oleh peneliti dari Blackpoint Cyber, satu pesan WhatsApp yang dikirim melalui sesi yang telah dibajak cukup untuk memancing korban menjalankan rantai infeksi multi-tahap. Rantai tersebut pada akhirnya dapat menghasilkan pemasangan malware perbankan seperti Maverick, Casbaneiro, atau Astaroth pada sistem korban. Peneliti mencatat bahwa kombinasi antara alat otomasi lokal, driver browser tanpa pengawasan, serta runtime yang dapat ditulis oleh pengguna menciptakan lingkungan yang sangat permisif bagi penyebaran malware tersebut.
Kemunculan VENON menunjukkan bahwa ekosistem malware perbankan di Amerika Latin terus berevolusi, baik dari sisi teknik pengembangan maupun metode distribusi. Penggunaan bahasa pemrograman modern seperti Rust dan integrasi berbagai teknik evasion menunjukkan bahwa pelaku ancaman terus beradaptasi untuk menghindari mekanisme deteksi tradisional. Bagi peneliti keamanan dan organisasi keuangan, perkembangan ini menegaskan pentingnya pemantauan ancaman secara berkelanjutan serta peningkatan kemampuan deteksi terhadap malware generasi baru yang semakin kompleks.