Pesquisadores de cibersegurança revelaram detalhes de um novo malware bancário que mira usuários brasileiros, desenvolvido em Rust — uma mudança significativa frente a outras famílias de malware da América Latina, tradicionalmente criadas em Delphi.
Focado em sistemas Windows, o malware foi identificado pela primeira vez no mês passado e batizado de VENON pela empresa brasileira ZenoX.
O que chama atenção no VENON é seu comportamento semelhante a trojans bancários já conhecidos na região, como Grandoreiro, Mekotio e Coyote.
Entre seus recursos estão lógica de banking overlay, monitoramento da janela ativa e um mecanismo de sequestro de atalhos (LNK hijacking).
Apesar disso, o VENON ainda não foi associado a nenhum grupo ou campanha previamente documentada.
Uma versão anterior, datada de janeiro de 2026, expôs caminhos completos do ambiente de desenvolvimento do autor, indicando o nome de usuário “byst4” no Windows, como em “C:\Users\byst4\...”.
Segundo a ZenoX, a estrutura do código em Rust sugere um desenvolvedor familiarizado com os trojans latino-americanos, que usou inteligência artificial generativa para reformular e expandir funcionalidades na linguagem, cujos recursos exigem alto nível técnico para alcançar o grau de sofisticação observado.
A distribuição do VENON ocorre por meio de uma cadeia de infecção sofisticada que utiliza DLL side-loading para carregar uma DLL maliciosa.
A campanha provavelmente se vale de engenharia social, usando táticas como o ClickFix para induzir usuários a baixar um arquivo ZIP com os payloads por meio de um script PowerShell.
Ao executar a DLL, o malware aplica nove técnicas de evasão, entre elas verificações anti-sandbox, chamadas de sistema indiretas (indirect syscalls), além de bypasses do ETW e AMSI, antes de iniciar qualquer ação maliciosa.
Na sequência, ele acessa um URL no Google Cloud Storage para obter configurações, instala uma tarefa agendada e abre conexão WebSocket com o servidor de comando e controle (C2).
Dentro da DLL, foram encontrados dois blocos de Visual Basic Script que implementam um mecanismo de sequestro de atalhos, focado exclusivamente no aplicativo bancário Itaú.
Essa técnica substitui atalhos legítimos por versões modificadas que redirecionam a vítima para páginas controladas pelos criminosos.
O malware possui uma função de desinstalação capaz de reverter essas alterações, indicando que a operação pode ser controlada remotamente para disfarçar as modificações.
No total, o VENON tem como alvo 33 instituições financeiras e plataformas de ativos digitais, monitorando títulos de janelas e domínios ativos nos navegadores.
Ele atua somente quando um dos aplicativos ou sites visados é aberto, facilitando o roubo de credenciais com overlays falsos.
Essa divulgação ocorre em meio a campanhas que exploram a popularidade do WhatsApp no Brasil para propagar um worm chamado SORVEPOTEL via versão web do mensageiro.
O ataque usa o abuso de chats previamente autenticados para enviar iscas maliciosas, resultando na instalação de malwares bancários como Maverick, Casbaneiro e Astaroth.
Segundo a Blackpoint Cyber, “uma única mensagem enviada por uma sessão SORVEPOTEL sequestrada foi suficiente para envolver uma vítima numa cadeia de múltiplas etapas que resultou na execução de um implant Astaroth completamente em memória”.
Eles ressaltam ainda que “a combinação de ferramentas locais de automação, drivers de navegador sem supervisão e ambientes de runtime com permissões de usuário gerou um ambiente excepcionalmente permissivo, permitindo que tanto o worm quanto o payload final se estabelecessem com resistência mínima”.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...