Pesquisadores divulgaram detalhes sobre um novo malware bancário que está atacando usuários no Brasil. Batizado de VENON, o código malicioso foi desenvolvido na linguagem Rust, algo incomum no ecossistema de cibercrime latino-americano, tradicionalmente dominado por famílias de malware escritas em Delphi.

O malware foi identificado pela empresa brasileira de cibersegurança ZenoX e foi detectado pela primeira vez no mês passado. O VENON foi projetado para infectar sistemas Windows e apresenta características semelhantes às de trojans bancários já conhecidos na região, como Grandoreiro, Mekotio e Coyote.

Entre as funcionalidades observadas estão o uso de overlays bancários falsos, monitoramento de janelas ativas e mecanismos de sequestro de atalhos (LNK hijacking) técnicas amplamente utilizadas por grupos hackers especializados em fraudes financeiras na América Latina.

Apesar das semelhanças técnicas com outros malwares bancários, o VENON ainda não foi atribuído a nenhum grupo hacker conhecido. Uma versão anterior do malware, datada de janeiro de 2026, revelou pistas interessantes sobre seu desenvolvimento: caminhos de diretório extraídos do código apontam para um ambiente de desenvolvimento associado ao usuário “byst4”, indicando possíveis vestígios do autor.

Segundo a análise técnica, a estrutura do código sugere que o desenvolvedor possui familiaridade com trojans bancários da região. Os pesquisadores também apontam indícios de que ferramentas de inteligência artificial generativa podem ter sido usadas para reescrever ou adaptar funcionalidades tradicionais desses malwares para a linguagem Rust, que exige um nível elevado de conhecimento técnico para implementação sofisticada.

Cadeia de infecção sofisticada

O VENON é distribuído por meio de uma cadeia de infecção relativamente complexa. O ataque começa quando a vítima é induzida, por técnicas de engenharia social, a baixar um arquivo ZIP malicioso. Esse arquivo contém scripts que executam comandos PowerShell para iniciar o processo de infecção.

Um dos mecanismos utilizados no ataque é o DLL side-loading, técnica em que um aplicativo legítimo carrega uma biblioteca maliciosa sem perceber. Quando a DLL maliciosa é executada, o malware realiza uma série de verificações para evitar detecção.

Foram identificadas nove técnicas de evasão, incluindo:

• verificações anti-sandbox

• chamadas indiretas ao sistema (indirect syscalls)

• bypass do ETW (Event Tracing for Windows)

• bypass do AMSI (Antimalware Scan Interface)

Somente após essas verificações o malware inicia suas atividades maliciosas. Em seguida, ele se conecta a um endereço hospedado no Google Cloud Storage para baixar arquivos de configuração, criar tarefas agendadas no sistema e estabelecer uma conexão WebSocket com o servidor de comando e controle (C2).

Ataques direcionados a bancos brasileiros

O VENON foi projetado para monitorar continuamente o título das janelas abertas no sistema e os domínios acessados pelo navegador. Quando identifica que a vítima abriu o site ou aplicativo de uma instituição financeira alvo, o malware entra em ação.

Nesse momento, ele exibe overlays falsos, simulando telas legítimas de login ou autenticação para roubar credenciais bancárias.

Ao todo, o malware é capaz de identificar 33 instituições financeiras e plataformas de ativos digitais, o que demonstra um forte foco no setor financeiro brasileiro.

Um detalhe curioso identificado pelos pesquisadores é a presença de dois blocos de Visual Basic Script extraídos da DLL que implementam um mecanismo específico de sequestro de atalhos do aplicativo bancário Itaú.

Nesse caso, os atalhos legítimos são substituídos por versões manipuladas que redirecionam a vítima para páginas controladas pelos hackers.

O malware também inclui uma função de desinstalação, capaz de restaurar os atalhos originais do sistema. Esse recurso sugere que os operadores podem remover evidências da infecção remotamente, dificultando investigações posteriores.

WhatsApp também tem sido usado em campanhas de malware

A descoberta do VENON ocorre em paralelo a outras campanhas que exploram a popularidade do WhatsApp no Brasil para distribuir malware bancário.

Em uma dessas campanhas, hackers utilizaram um worm chamado SORVEPOTEL, distribuído por meio da versão web e desktop do aplicativo de mensagens. O ataque explora sessões já autenticadas para enviar mensagens maliciosas diretamente para contatos da vítima.

Um único link enviado por meio dessas conversas comprometidas pode iniciar uma cadeia de infecção em múltiplos estágios que termina com a instalação de malwares bancários como Maverick, Casbaneiro ou Astaroth.

De acordo com análises técnicas, a combinação de automação local, drivers de navegador executados sem supervisão e ambientes de execução que permitem escrita pelo usuário cria um cenário extremamente permissivo para que worms e cargas maliciosas se instalem com pouca fricção nos sistemas.