Le trojan VENON pour les attaques bancaires en Amérique latine réécrit en Rust avec l'aide de l'IA

Les chercheurs ont décrit un nouveau cheval de Troie bancaire VENON qui cible les utilisateurs de Windows et imite le comportement des malwares latino-américains connus. La principale différence est que le malware est écrit en Rust, et sa structure, selon les analystes, indique une utilisation active de l'IA générative dans le développement.

Pourquoi C'est Inhabituel

Pour le segment des chevaux de Troie bancaires latino-américains, cette approche est atypique. La région a longtemps été dominée par des familles comme Grandoreiro, Mekotio et Coyote, généralement écrites en Delphi. VENON, cependant, reproduit leur logique clé : surveille les fenêtres actives, remplace l'interface utilisateur des pages bancaires et intercepte les raccourcis Windows.

Essentiellement, les attaquants n'ont pas inventé un nouveau mécanisme d'attaque, mais ont pris un modèle familier et l'ont porté vers une pile technologique différente. C'est précisément le choix de Rust qui rend cette histoire notable. Ce langage nécessite une compétence technique plus élevée qu'un constructeur de malware typique ou un assemblage rapide avec les outils familiers.

Les chercheurs pensent que l'auteur du malware comprenait comment fonctionnent les attaques bancaires locales, mais s'est appuyé sur l'IA générative pour recréer et étendre cet ensemble de fonctions en Rust. Ce n'est plus simplement copier le code de quelqu'un d'autre, mais une nouvelle façon d'assembler rapidement des outils malveillants matures à partir de modèles familiers.

Comment Fonctionne VENON

Le schéma d'infection de VENON est multi-étapes. Selon les chercheurs, le malware s'exécute via le chargement latéral de DLL et peut être livré aux victimes via une archive ZIP et un script PowerShell. La technique ClickFix est également mentionnée, où les utilisateurs sont manipulés socialement pour lancer eux-mêmes la chaîne malveillante. Après le démarrage de la DLL, elle ne se hâte pas de se manifester : d'abord, elle vérifie l'environnement et tente de s'assurer qu'elle n'a pas atterri dans un sandbox ou sous observation d'outils de sécurité.

• Vérifie si l'échantillon s'exécute dans un environnement virtuel
• Utilise des appels système indirects pour dissimuler l'activité
• Tente de contourner ETW et AMSI avant d'exécuter la charge utile
• Charge la configuration depuis Google Cloud Storage et crée une tâche dans le planificateur
• Ouvre une connexion WebSocket avec le serveur de commande

Ensuite, le malware passe à l'activité ciblée. Deux scripts Visual Basic sont injectés de la DLL pour intercepter les raccourcis système de Windows ; le rapport indique qu'ils ciblent l'application bancaire Itaú. Simultanément, VENON surveille les titres des fenêtres du navigateur et les domaines actifs.

Si un utilisateur ouvre l'un des services d'intérêt, le cheval de Troie superpose une fausse couche à l'écran et intercepte les identifiants. La liste des cibles comprend 33 organisations financières et plateformes de cryptomonnaies. Un autre détail est un mécanisme de restauration intégré.

Après avoir remplacé les raccourcis, le malware peut les restaurer à l'état d'origine, vraisemblablement pour masquer les traces de l'attaque. Cela ne fait pas de VENON une percée technologique, mais montre que l'auteur a pensé non seulement au vol de données, mais aussi à dissimuler les traces après l'opération. Cet ensemble de techniques rend la campagne plus résiliente : une victime peut ne pas comprendre immédiatement que sa connexion à une banque ou un service de cryptomonnaies s'est déroulée via une interface usurpée.

Pourquoi L'IA Générative Est Soupçonnée

L'hypothèse de l'IA générative n'a pas émergé d'un seul marqueur évident, mais de la structure générale du projet. Les analystes de ZenoX pensent que le développeur a clairement modélisé les chevaux de Troie bancaires régionaux connus, mais a utilisé l'IA pour porter cette logique à Rust et étendre les fonctionnalités. En d'autres termes, l'auteur n'était pas un débutant complet, mais une partie du travail d'ingénierie aurait pu être accélérée via les LLMs et ce qu'on appelle le vibe coding.

Lier VENON à un groupe de cybercriminalité spécifique n'a pas encore été possible. Dans un échantillon précoce datant de janvier 2026, les chercheurs ont trouvé un artefact avec le nom d'utilisateur byst4, mais c'est insuffisant pour une attribution fiable. Pour le marché de la cybersécurité, une conclusion différente est plus importante : les modèles génératives aident déjà non seulement à écrire des utilitaires et des prototypes inoffensifs, mais aussi à empaqueter la logique malveillante dans une pile plus moderne et moins familière pour les analystes.

Ce Que Cela Signifie

L'histoire de VENON montre que l'IA abaisse la barrière à l'entrée même pour des projets de malware complexes, mais n'élimine pas le besoin de connaissance des tactiques d'attaque. Pour les défenseurs, c'est un signal pour renforcer l'analyse comportementale, porter une attention plus particulière aux composants Rust et tenir compte du fait que la prochaine vague de chevaux de Troie bancaires pourrait être assemblée plus rapidement que les signatures classiques ne sont mises à jour.