Novo trojan bancário escrito em Rust mira 33 instituições financeiras brasileiras
Pesquisadores brasileiros de segurança digital identificaram uma nova ameaça focada diretamente no sistema financeiro nacional. Trata-se do VENON, um malware bancário desenvolvido em Rust, uma linguagem pouco comum no submundo do cibercrime na América Latina, onde ainda predominam códigos escritos em Delphi para esse tipo de ataque.
A descoberta foi feita pela empresa de cibersegurança ZenoX, que detectou as primeiras amostras do VENON no mês passado. O alvo principal são usuários de Windows no Brasil, com um conjunto de técnicas e funcionalidades muito parecido com famílias de trojans já bem conhecidas na região, como Grandoreiro, Mekotio e Coyote.
Assim como esses malwares mais antigos, o VENON aposta em recursos clássicos de fraude financeira: uso de overlays falsos sobre telas de bancos, monitoramento constante das janelas ativas no computador e sequestro de atalhos (LNK hijacking), mecanismo bastante explorado por grupos especializados em golpes bancários na América Latina.
Apesar das similaridades, os analistas ainda não conseguiram associar o VENON a nenhum grupo de cibercriminosos já catalogado. Uma versão preliminar do código, datada de janeiro de 2026, trouxe algumas pistas. Caminhos de diretório embutidos na amostra apontam para um ambiente de desenvolvimento ligado a um usuário identificado como “byst4”, possível rastro do autor ou de alguém envolvido na criação do malware.
A estrutura interna do código sugere que o desenvolvedor conhece bem o ecossistema de trojans bancários regionais. Há sinais de que ferramentas de inteligência artificial generativa podem ter sido empregadas para reescrever ou adaptar funcionalidades tradicionais desses malwares para Rust, linguagem conhecida por exigir domínio técnico avançado para uso em projetos mais complexos. Isso indica uma profissionalização crescente de cibercriminosos que passam a combinar conhecimento prévio de fraudes bancárias com recursos modernos de automação e desenvolvimento assistido por IA.
Cadeia de infecção complexa e altamente automatizada
O VENON não depende de um único vetor de entrada simples. Ele é distribuído por meio de uma cadeia de infecção relativamente sofisticada, construída para enganar usuários e, ao mesmo tempo, driblar soluções de segurança.
O ataque normalmente começa com uma isca de engenharia social: a vítima é levada a baixar um arquivo ZIP malicioso, muitas vezes apresentado como documento importante, comprovante ou arquivo relacionado a serviços financeiros. Dentro desse pacote estão scripts responsáveis por executar comandos via PowerShell, inaugurando o processo de infecção no Windows.
Um dos pilares da estratégia do VENON é o uso de DLL side-loading. Nessa técnica, um aplicativo legítimo é induzido a carregar uma biblioteca dinâmica maliciosa, acreditando tratar-se de um componente confiável. Quando essa DLL adulterada entra em funcionamento, o trojan executa uma série de checagens de segurança para avaliar se é seguro prosseguir com o ataque.
Os analistas identificaram pelo menos nove técnicas diferentes de evasão empregadas pelo malware, entre elas:
– verificações anti-sandbox, para detectar se está sendo analisado em um ambiente controlado;
– uso de chamadas indiretas ao sistema (indirect syscalls), que dificultam a detecção por soluções de segurança baseadas em monitoramento de APIs;
– bypass do ETW (Event Tracing for Windows), reduzindo rastros de atividades suspeitas;
– bypass do AMSI (Antimalware Scan Interface), mecanismo utilizado pelo Windows e por antivírus para inspecionar scripts e conteúdo potencialmente malicioso.
Somente depois de concluir esse processo de autoavaliação e confirmar que não está sob análise ou bloqueio, o VENON passa a executar suas rotinas de ataque.
Conexão em nuvem e controle remoto em tempo real
Na sequência, o malware se conecta a um endereço hospedado na infraestrutura de nuvem do Google Cloud Storage, de onde baixa arquivos de configuração e instruções adicionais. Esses dados definem detalhes da operação, como alvos, comandos, parâmetros de monitoramento e ajustes de comportamento.
O VENON também cria tarefas agendadas no Windows, garantindo persistência mesmo após reinicializações. Em paralelo, estabelece uma conexão via WebSocket com o servidor de comando e controle (C2), canal que permite aos operadores controlar o malware em tempo real, atualizar configurações, acionar overlays e até desinstalar o trojan quando julgarem necessário.
O uso de serviços de nuvem amplamente adotados por empresas legítimas torna o tráfego de comunicação do malware menos suspeito, dificultando a identificação por filtros tradicionais de rede que procuram conexões com domínios estranhos ou pouco confiáveis.
Foco total em bancos e plataformas financeiras brasileiras
Uma vez instalado, o VENON passa a monitorar continuamente o título das janelas abertas no sistema e os domínios acessados pelos navegadores. O objetivo é identificar quando o usuário acessa o site, aplicativo ou plataforma de uma instituição financeira alvo.
Quando detecta um desses alvos, o malware aciona uma de suas principais armas: o uso de overlays falsos. Esses elementos gráficos sobrepostos simulam com alto grau de fidelidade telas de login, formulários de autenticação, janelas de confirmação de transação e outros componentes comuns em aplicações bancárias. Assim, a vítima acredita estar interagindo com a interface legítima do banco, enquanto, na realidade, está fornecendo credenciais, tokens e dados sensíveis diretamente para os criminosos.
De acordo com a análise técnica, o VENON é capaz de reconhecer e atacar 33 instituições financeiras e plataformas de ativos digitais, o que demonstra um foco bastante evidente no sistema financeiro brasileiro e no crescente mercado de criptoativos e investimentos online.
Ataques específicos contra o aplicativo bancário Itaú
Um dos detalhes mais reveladores do nível de customização do VENON é o uso de dois blocos de código em Visual Basic Script extraídos da DLL principal. Esses scripts são dedicados a implementar um mecanismo específico de sequestro de atalhos do aplicativo bancário do Itaú.
Nessa modalidade de ataque, os atalhos legítimos do banco no sistema são substituídos por versões manipuladas. Quando o usuário clica no ícone que acredita ser o atalho oficial, é direcionado, na verdade, para recursos controlados pelos criminosos, que podem exibir páginas falsas, realizar coletas de dados ou acionar rotinas adicionais de infecção.
Curiosamente, o malware inclui também uma função de desinstalação capaz de restaurar os atalhos originais do sistema. Esse recurso sugere que os operadores do VENON podem, em determinados momentos, optar por limpar vestígios da infecção remotamente, tornando muito mais difícil a análise posterior de incidentes e a correlação de atividades maliciosas com o trojan.
Paralelo com outras campanhas que exploram o WhatsApp
A identificação do VENON ocorre em um contexto mais amplo de crescimento de campanhas que se aproveitam da popularidade do WhatsApp no Brasil para disseminar malware bancário.
Em uma dessas operações, cibercriminosos utilizaram um worm batizado de SORVEPOTEL, distribuído por meio das versões web e desktop do aplicativo de mensagens. Diferentemente de campanhas tradicionais baseadas em spam, esse ataque se apoia em sessões já autenticadas da vítima para enviar links maliciosos diretamente para seus contatos, explorando a confiança entre pessoas conhecidas.
Basta um único clique em um link recebido em uma conversa aparentemente legítima para iniciar uma cadeia de infecção em múltiplos estágios, que pode terminar com a instalação de trojans bancários como Maverick, Casbaneiro ou Astaroth. Nesse tipo de cenário, o usuário é menos desconfiado, uma vez que a mensagem vem de alguém com quem já mantém contato frequente.
Relatórios técnicos apontam que a combinação de automação local, drivers de navegador executados sem supervisão e ambientes de execução com permissões de escrita para o usuário cria um cenário extremamente propício para a propagação silenciosa de malwares, especialmente em computadores que não recebem atualizações com frequência ou que executam versões antigas de navegadores e do próprio sistema operacional.
Por que o uso de Rust preocupa especialistas
O fato de o VENON ter sido escrito em Rust não é apenas uma curiosidade técnica. A adoção dessa linguagem representa um novo patamar de sofisticação no cibercrime regional.
Rust é conhecida por oferecer fortes garantias de segurança de memória, alto desempenho e portabilidade. Para os criminosos, isso significa a possibilidade de criar binários mais estáveis, difíceis de serem explorados por outros atores e, em muitos casos, mais desafiadores para as ferramentas tradicionais de análise estática e assinaturas de antivírus.
Além disso, Rust tem ganhado popularidade entre desenvolvedores legítimos, o que contribui para um ecossistema rico em bibliotecas e frameworks que podem ser reaproveitados para fins maliciosos. O uso de IA generativa para auxiliar na tradução ou reescrita de funcionalidades consagradas de trojans antigos para Rust reduz a barreira de entrada para criminosos com menos experiência nessa linguagem, acelerando a modernização do arsenal de ataques.
Riscos para usuários e impacto no sistema financeiro
Para o usuário comum, o risco mais imediato é o roubo de credenciais bancárias, senhas de acesso, códigos de autenticação de dois fatores e dados de cartões. Com esses elementos em mãos, os criminosos podem realizar transferências, pagamentos, compras e até contratar serviços financeiros em nome da vítima.
O impacto, porém, vai além do prejuízo individual. Trojans como o VENON pressionam bancos e fintechs a investirem cada vez mais em mecanismos de detecção de fraude baseados em comportamento, análise de dispositivos e biometria, aumentando custos operacionais e de tecnologia. Em paralelo, o aumento de ataques bem-sucedidos pode afetar a confiança de usuários em canais digitais, especialmente entre públicos menos familiarizados com tecnologia.
No caso específico do Brasil, onde a bancarização digital avançou rapidamente, qualquer elevação significativa no volume de fraudes tem potencial de gerar sobrecarga em centrais de atendimento, aumento de disputas financeiras, crescimento de reclamações e até impactos reputacionais para instituições que se tornem alvos recorrentes.
Boas práticas para reduzir a exposição ao VENON e a outros trojans bancários
Embora o VENON utilize uma cadeia de infecção sofisticada, a porta de entrada ainda depende, em grande parte, de interação do usuário. Algumas medidas básicas reduzem consideravelmente o risco de infecção:
– evitar abrir anexos ou arquivos ZIP recebidos por e-mail, mensageiros ou redes sociais, principalmente quando há pressão para agir rapidamente;
– desconfiar de documentos que exijam a execução de scripts, macros ou comandos adicionais para “visualizar o conteúdo”;
– manter o Windows, navegadores e aplicativos sempre atualizados;
– utilizar soluções de segurança reconhecidas, com proteção em tempo real e análise de comportamentos suspeitos;
– preferir digitar manualmente o endereço de bancos e plataformas financeiras no navegador, em vez de clicar em links recebidos por terceiros;
– ficar atento a qualquer diferença visual em telas de login, mensagens de erro incomuns ou pedidos atípicos de informações adicionais durante acessos bancários.
Em relação a atalhos, especialmente de aplicativos bancários, vale verificar se o ícone aponta para o local correto no sistema e desconfiar caso o atalho passe a se comportar de maneira estranha, abrindo janelas adicionais, scripts ou páginas inesperadas.
Como instituições financeiras podem se preparar
Bancos e fintechs também precisam adaptar suas estratégias defensivas frente a ameaças como o VENON. Algumas ações recomendadas incluem:
– fortalecer mecanismos de autenticação multifator, privilegiando métodos mais resistentes a phishing, como biometria e chaves físicas;
– incorporar técnicas de detecção baseadas em análise de comportamento de sessão, em vez de depender somente de usuário e senha;
– monitorar anomalias de dispositivo, localização e padrão de uso, sinalizando transações suspeitas para verificação adicional;
– investir em campanhas contínuas de conscientização de clientes, com exemplos práticos de golpes e instruções sobre o que fazer em situações de dúvida;
– criar canais simples e rápidos para bloqueio de contas e contestação de operações em caso de suspeita de malware.
A troca de informação técnica entre equipes de segurança de diferentes instituições também é essencial para identificar rapidamente novas famílias de trojans, overlays em circulação e indicadores de compromisso associados a elas, como endereços de C2, padrões de tráfego e artefatos em disco.
Tendência de profissionalização do cibercrime financeiro no Brasil
O surgimento do VENON se soma a uma linha evolutiva clara: grupos de cibercrime financeiro atuando no Brasil estão adotando técnicas cada vez mais avançadas, explorando linguagens modernas, infraestrutura em nuvem, canais de comunicação em tempo real e, cada vez mais, recursos de inteligência artificial.
Essa profissionalização se reflete não só na qualidade técnica dos malwares, mas também na forma como as campanhas são organizadas, muitas vezes com divisão de tarefas entre desenvolvedores, operadores de infecção, responsáveis por engenharia social e “laranjas” encarregados de movimentar recursos ilícitos.
Para usuários, empresas e instituições financeiras, isso significa que a segurança digital deixa de ser um tema acessório e passa a ser componente central da estratégia de proteção patrimonial e de continuidade de negócios. Em um cenário em que trojans bancários evoluem rapidamente, a única resposta eficaz é combinar tecnologia atualizada, processos bem definidos e educação contínua de todos os envolvidos na cadeia financeira digital.