Pesquisadores de segurança têm localizado uma nova família de malware bancário dirigida a usuários no Brasil que, pela primeira vez neste ecossistema, está escrita em Rust. A assinatura brasileira ZenoX foi a encarregada de analisar a amostra e dar-lhe o nome chave VENON; seu relatório destaca que, embora a linguagem seja diferente, o comportamento do código remeda a trojanos bancários já conhecidos na região, como Grandoreiro, Mekotio ou Coyote, ao incorporar lógicas de superposição de janelas, vigilância da aplicação ativa e uma técnica para sequestrar acessos diretos do sistema.
O que torna VENON particularmente atraente não é apenas o uso de Rust - uma linguagem moderna que não é habitual neste tipo de ameaças - mas também a combinação de práticas de desenvolvimento avançadas e sinais de reutilização ou reescrita assistida por ferramentas de inteligência artificial. ZenoX aponta padrões na estrutura do código que sugerem que o autor conhece bem as capacidades dos bancos latino-americanos e que teria empregado geração automática de código para adaptar e ampliar essas funcionalidades em Rust. A análise completa pode ser consultada no relatório técnico do ZenoX: https://zenox.ai/en/venon-the-first-brazilian-banker-rat-in-rust/.
O binário descoberto inclui ainda traços da própria máquina de desenvolvimento: versões iniciais expõem rotas completas no Windows que fazem referência repetida ao usuário "byst4" (por exemplo, "C:\\Users\\byst4\..."), um detalhe forense que pode ajudar os analistas a entender a origem e evolução do projeto malicioso.
A cadeia de infecção descrita pelos pesquisadores é complexa e mistura engenharia social com técnicas técnicas de persistência. Aparentemente, os atacantes distribuem um ZIP com um programa de PowerShell através de cogumelos como falsos serviços de "arreglo" de mensagens (ClickFix) e exploram DLL side-loading para carregar uma livraria maliciosa no sistema. Antes de executar ações daninhas, o componente realiza múltiplas medidas de evasão —controles anti-sandbox, chamadas indiretas ao sistema, e métodos para esquivar ETW e AMSI — para dificultar sua detecção durante a análise dinâmica. Para entender por que essas defesas são relevantes pode ser revista a documentação técnica do Windows sobre esses mecanismos: AMSI, ETW e busca e carga de DLL no Windows: Dynamic Link Library Search Order.
Uma vez ativado, o VENON conta com recursos hospedados no Google Cloud Storage para obter uma configuração, instala uma tarefa programada e estabelece uma conexão WebSocket com seu servidor de comando e controle, permitindo-lhe receber comandos e atualizar seu comportamento em tempo real. A escolha de infra-estruturas na nuvem para armazenar configurações e binários não é nova, mas facilita os atacantes manter controle e flexibilidade sem colocar servidores próprios visíveis a olho nu; a plataforma documental do Google Cloud oferece informações sobre esses serviços: Google Cloud Storage.
Da análise da DLL também emergiram dois fragmentos no Visual Basic Script que implementam um mecanismo muito específico: a substituição de acessos diretos legítimos da aplicação do banco Itaú por versões manipuladas que redirecionam o usuário para páginas controladas pelo atacante. Este método, que atua a nível do desktop para interceptar a rota habitual de acesso à banca, inclui também uma rotina de desinstalação que pode restaurar os atalhos originais, sugerindo que os operadores querem manter controle remoto sobre a visibilidade da intrusão e cobrir pegadas quando lhes convém.
Na sua configuração, o VENON está preparado para monitorar títulos de janelas e domínios ativos no navegador e ativar o seu módulo de roubo apenas quando detectar qualquer uma das 33 entidades financeiras ou plataformas de ativos digitais que figuram na sua lista de brancos. Ao fazê-lo, lança superposições fraudulentas que imitam a interface dos serviços legítimos para capturar credenciais e dados sensíveis das vítimas.
O surgimento de VENON coincide com outra tendência preocupante no Brasil: a exploração do WhatsApp como vetor de distribuição. Campanhas recentes aproveitaram sessões do WhatsApp Web já autenticadas para espalhar um verme chamado SORVEPOTEL, que envia mensagens maliciosos a contatos comprometidos e encadeou a entrega de cargas como Maverick, Casbaneiro ou Astaroth. O laboratório Blackpoint Cyber descreveu como uma única interação através de uma sessão sequestrada poderia culminar na execução em memória de implantes como Astaroth, evidenciando que a combinação de automação local e controle de navegadores oferece aos atacantes um ambiente muito permissivo: https://blackpointcyber.com/blog/whatsapp-worm-sorvepotel-astaroth-malware/.
O que subjace a estas duas histórias é uma transformação em como se constroem e distribuem as ameaças: linguagens menos comuns em malware, como Rust, e a assistência de ferramentas de geração de código estão reduzindo a barreira técnica para montar famílias sofisticadas, enquanto vetores sociais consolidados, como WhatsApp, continuam sendo o canal preferido para chegar a vítimas com aparente confiança. O resultado é um ecossistema onde a técnica e a engenharia social se combinam para maximizar a eficácia das fraudes.
Para usuários e equipamentos de segurança, as recomendações básicas permanecem relevantes e práticas: desconfiar de links e arquivos comprimidos recebidos por mensagens, evitar executar scripts não verificados, manter sistemas e antivírus atualizados e restringir o uso de ferramentas que permitam execução automática de código. As organizações devem monitorizar atividades anormais relacionadas a tarefas programadas, ligações salientes a serviços na nuvem e modificações de acessos diretos sensíveis, além de aplicar controles sobre a execução de PowerShell e outros intérpretes. Os guias da Microsoft sobre AMSI e ETW, bem como a documentação de boas práticas na administração do Windows, são um bom ponto de partida para compreender e mitigar essas técnicas.
VENON é um lembrete de que as ameaças evoluem: mudam as linguagens, se afinam as evasões e se combinam ferramentas automatizadas com velhas tretas sociais. A defesa requer tanto controles técnicos quanto a consciência do usuário, porque em muitos ataques o elo humano continua sendo o que acaba abrindo a porta.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...