Pesquisadores de segurança divulgaram recentemente informações sobre um novo malware bancário que está mirando usuários no Brasil. Chamado de VENON, o programa malicioso foi desenvolvido utilizando a linguagem Rust, algo ainda pouco comum entre grupos de cibercrime da América Latina, onde a maioria dos trojans bancários costuma ser criada em Delphi.
A ameaça foi descoberta pela empresa brasileira de cibersegurança ZenoX, que detectou a atividade do malware pela primeira vez no mês passado. O VENON foi criado para comprometer computadores com Windows e apresenta características semelhantes às de trojans bancários já conhecidos na região, como Grandoreiro, Mekotio e Coyote.
Entre os recursos observados pelos pesquisadores estão a exibição de overlays bancários falsos, monitoramento de janelas ativas no sistema e técnicas de sequestro de atalhos (LNK hijacking). Esses métodos são frequentemente utilizados por grupos especializados em fraudes financeiras na América Latina.
Apesar de compartilhar várias características com outras famílias de malware bancário, o VENON ainda não foi associado a nenhum grupo hacker específico. Entretanto, uma versão anterior do código, identificada em janeiro de 2026, trouxe indícios sobre sua origem. Caminhos de diretórios encontrados no código indicam um ambiente de desenvolvimento vinculado ao usuário “byst4”, o que pode representar uma pista sobre o possível autor.
A análise técnica também sugere que o desenvolvedor tem conhecimento prévio sobre trojans bancários que atuam na região. Além disso, pesquisadores apontam sinais de que ferramentas de inteligência artificial generativa podem ter sido utilizadas para adaptar ou reescrever funcionalidades tradicionais desses malwares para a linguagem Rust, que exige maior domínio técnico para implementações avançadas.
Cadeia de infecção complexa
A distribuição do VENON ocorre por meio de uma cadeia de infecção relativamente sofisticada. O ataque começa quando a vítima é enganada por técnicas de engenharia social e convencida a baixar um arquivo ZIP malicioso.
Dentro desse arquivo há scripts que executam comandos PowerShell, responsáveis por iniciar o processo de comprometimento do sistema.
Uma das estratégias utilizadas é o DLL side-loading, técnica na qual um aplicativo legítimo acaba carregando uma biblioteca maliciosa sem perceber. Assim que essa DLL é executada, o malware realiza diversas verificações com o objetivo de evitar mecanismos de detecção.
Os pesquisadores identificaram nove técnicas de evasão, incluindo:
-
verificações contra ambientes sandbox
-
chamadas indiretas ao sistema (indirect syscalls)
-
bypass do ETW (Event Tracing for Windows)
-
bypass do AMSI (Antimalware Scan Interface)
Somente após concluir essas verificações o malware inicia efetivamente suas atividades maliciosas.
Em seguida, o VENON se conecta a um endereço hospedado no Google Cloud Storage para baixar arquivos de configuração. O malware também cria tarefas agendadas no sistema e estabelece uma comunicação com o servidor de comando e controle (C2) por meio de uma conexão WebSocket.
Malware tem foco em bancos brasileiros
O VENON foi projetado para monitorar constantemente os títulos das janelas abertas no computador da vítima e os domínios acessados no navegador. Quando identifica que o usuário entrou no site ou aplicativo de uma instituição financeira específica, o malware inicia o ataque.
Nesse momento, ele apresenta telas falsas de login ou autenticação, conhecidas como overlays, que simulam páginas legítimas com o objetivo de capturar credenciais bancárias.
Ao todo, o código malicioso consegue identificar 33 instituições financeiras e plataformas de ativos digitais, o que evidencia o forte direcionamento da campanha ao setor financeiro brasileiro.
Outro detalhe curioso encontrado na análise é a presença de dois blocos de Visual Basic Script dentro da DLL do malware. Esses scripts implementam um mecanismo específico de sequestro de atalhos do aplicativo bancário do Itaú.
Nesse tipo de ataque, os atalhos originais do aplicativo são substituídos por versões alteradas que redirecionam a vítima para páginas controladas pelos criminosos.
O malware também inclui uma função de desinstalação, capaz de restaurar os atalhos originais do sistema. Esse recurso indica que os operadores podem remover rastros da infecção remotamente, dificultando investigações posteriores.
WhatsApp também vem sendo explorado para espalhar malware
A descoberta do VENON acontece em paralelo a outras campanhas maliciosas que exploram a grande popularidade do WhatsApp no Brasil para disseminar malware bancário.
Em uma dessas campanhas, criminosos utilizaram um worm chamado SORVEPOTEL, distribuído por meio das versões web e desktop do aplicativo de mensagens. O ataque aproveita sessões já autenticadas para enviar mensagens maliciosas automaticamente para os contatos da vítima.
Um simples link enviado nessas conversas comprometidas pode iniciar uma cadeia de infecção com múltiplas etapas, que termina com a instalação de trojans bancários como Maverick, Casbaneiro ou Astaroth.
Segundo análises técnicas, a combinação de automação local, execução de drivers de navegador sem supervisão e ambientes de execução que permitem escrita pelo usuário cria um cenário bastante permissivo para que worms e cargas maliciosas sejam instalados com pouca resistência nos sistemas.
