Investigadores de seguridad han localizado una nueva familia de malware bancario dirigida a usuarios en Brasil que, por primera vez en este ecosistema, está escrita en Rust. La firma brasileña ZenoX fue la encargada de analizar la muestra y darle el nombre clave VENON; su informe destaca que, aunque el lenguaje es distinto, el comportamiento del código remeda a trojanos bancarios ya conocidos en la región, como Grandoreiro, Mekotio o Coyote, al incorporar lógicas de superposición de ventanas, vigilancia de la aplicación activa y una técnica para secuestrar accesos directos del sistema.
Lo que hace a VENON particularmente llamativo no es solo el uso de Rust —un lenguaje moderno que no es habitual en este tipo de amenazas— sino también la combinación de prácticas de desarrollo avanzadas y signos de reutilización o reescritura asistida por herramientas de inteligencia artificial. ZenoX señala patrones en la estructura del código que sugieren que el autor conoce bien las capacidades de los bancarios latinoamericanos y que habría empleado generación automática de código para adaptar y ampliar esas funcionalidades en Rust. Puede consultarse el análisis completo en el informe técnico de ZenoX: https://zenox.ai/en/venon-the-first-brazilian-banker-rat-in-rust/.
El binario descubierto incluye además trazas de la propia máquina de desarrollo: versiones tempranas exponen rutas completas en Windows que hacen referencia repetida al usuario "byst4" (por ejemplo, "C:\\Users\\byst4\\..."), un detalle forense que puede ayudar a los analistas a entender el origen y evolución del proyecto malicioso.
La cadena de infección descrita por los investigadores es compleja y mezcla ingeniería social con técnicas técnicas de persistencia. Al parecer, los atacantes distribuyen un ZIP con un script de PowerShell a través de señuelos como falsos servicios de "arreglo" de mensajes (ClickFix) y explotan DLL side‑loading para cargar una librería maliciosa en el sistema. Antes de ejecutar acciones dañinas, el componente realiza múltiples medidas de evasión —controles anti‑sandbox, llamadas indirectas al sistema, y métodos para esquivar ETW y AMSI— para dificultar su detección durante el análisis dinámico. Para entender por qué estas defensas son relevantes puede revisarse la documentación técnica de Windows sobre estos mecanismos: AMSI, ETW y la búsqueda y carga de DLL en Windows: Dynamic Link Library Search Order.
Una vez activado, VENON contacta recursos alojados en Google Cloud Storage para descargar una configuración, instala una tarea programada y establece una conexión WebSocket con su servidor de comando y control, lo que le permite recibir órdenes y actualizar su comportamiento en tiempo real. La elección de infraestructuras en la nube para almacenar configuraciones y binarios no es nueva, pero facilita a los atacantes mantener control y flexibilidad sin desplegar servidores propios visibles a simple vista; la plataforma documental de Google Cloud ofrece información sobre estos servicios: Google Cloud Storage.
Del análisis de la DLL también emergieron dos fragmentos en Visual Basic Script que implementan un mecanismo muy específico: el reemplazo de accesos directos legítimos de la aplicación del banco Itaú por versiones manipuladas que redirigen al usuario hacia páginas controladas por el atacante. Este método, que actúa a nivel del escritorio para interceptar la ruta habitual de acceso a la banca, incluye además una rutina de desinstalación que puede restaurar los atajos originales, lo que sugiere que los operadores quieren mantener control remoto sobre la visibilidad de la intrusión y cubrir huellas cuando les conviene.
En su configuración, VENON está preparado para vigilar títulos de ventanas y dominios activos en el navegador, y activar su módulo de robo únicamente cuando detecta cualquiera de las 33 entidades financieras o plataformas de activos digitales que figuran en su lista de blancos. Al hacerlo, lanza superposiciones fraudulentas que imitan la interfaz de los servicios legítimos para capturar credenciales y datos sensibles de las víctimas.
La aparición de VENON coincide con otra tendencia preocupante en Brasil: la explotación de WhatsApp como vector de distribución. Campañas recientes han aprovechado sesiones de WhatsApp Web ya autenticadas para propagar un gusano denominado SORVEPOTEL, que envía mensajes maliciosos a contactos comprometidos y encadena la entrega de cargas como Maverick, Casbaneiro o Astaroth. El laboratorio de Blackpoint Cyber detalló cómo una sola interacción a través de una sesión secuestrada podía culminar en la ejecución en memoria de implantes como Astaroth, evidenciando que la combinación de automatización local y control de navegadores ofrece a los atacantes un entorno muy permisivo: https://blackpointcyber.com/blog/whatsapp-worm-sorvepotel-astaroth-malware/.
Lo que subyace a estas dos historias es una transformación en cómo se construyen y distribuyen las amenazas: lenguajes menos comunes en malware, como Rust, y la asistencia de herramientas de generación de código están reduciendo la barrera técnica para ensamblar familias sofisticadas, mientras que vectores sociales consolidados, como WhatsApp, siguen siendo el canal preferido para llegar a víctimas con aparente confianza. El resultado es un ecosistema donde la técnica y la ingeniería social se combinan para maximizar la eficacia de los fraudes.
Para usuarios y equipos de seguridad, las recomendaciones básicas siguen siendo relevantes y prácticas: desconfiar de enlaces y archivos comprimidos recibidos por mensajería, evitar ejecutar scripts no verificados, mantener sistemas y antivirus actualizados y restringir el uso de herramientas que permitan ejecución automática de código. Las organizaciones deberían monitorizar actividades anómalas relacionadas con tareas programadas, conexiones salientes a servicios en la nube y modificaciones de accesos directos sensibles, además de aplicar controles sobre la ejecución de PowerShell y otros intérpretes. Las guías de Microsoft sobre AMSI y ETW, así como la documentación de buenas prácticas en la administración de Windows, son un buen punto de partida para comprender y mitigar estas técnicas.
VENON es un recordatorio de que las amenazas evolucionan: cambian los lenguajes, se afinan las evasiones y se combinan herramientas automatizadas con viejas tretas sociales. La defensa requiere tanto controles técnicos como la concienciación del usuario, porque en muchos ataques el eslabón humano sigue siendo el que termina abriendo la puerta.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...