Investigadores de ciberseguridad han identificado un nuevo malware bancario denominado VENON, diseñado para atacar a usuarios de servicios financieros —principalmente en Brasil— y capaz de robar credenciales mediante técnicas de superposición de pantalla y monitoreo de actividad. El malware, detectado en febrero de 2026, destaca por estar desarrollado en el lenguaje de programación Rust, algo poco habitual en el ecosistema de troyanos bancarios latinoamericanos.
El hallazgo fue realizado por la empresa brasileña ZenoX, que identificó el malware durante actividades de threat hunting. Según los investigadores, VENON está diseñado para infectar sistemas Windows y atacar 33 instituciones financieras y plataformas de activos digitales, activando sus funciones maliciosas cuando detecta que el usuario abre aplicaciones o sitios web de banca o servicios financieros.
¿Cómo funciona el ataque?
El vector de entrada identificado comienza con campañas de ingeniería social que inducen a la víctima a descargar un archivo comprimido (ZIP) que contiene los componentes iniciales del ataque. Dentro del paquete se incluyen archivos aparentemente legítimos que forman parte de la cadena de ejecución del malware.
Tras la ejecución del archivo incluido en el paquete, se activa un mecanismo de DLL side-loading que aprovecha el binario legítimo NVIDIANotification.exe. Este ejecutable carga una biblioteca maliciosa denominada libcef.dll, explotando el orden de búsqueda de bibliotecas de Windows y permitiendo iniciar el comportamiento malicioso sin levantar sospechas iniciales.
Antes de desplegar su carga útil final, VENON implementa una capa de evasión que incluye comprobaciones anti-sandbox y el uso de llamadas indirectas al sistema (indirect syscalls) para dificultar el análisis dinámico. Además, intenta neutralizar las defensas del sistema mediante el bypass de AMSI (Antimalware Scan Interface) y la evasión de ETW (Event Tracing for Windows), reduciendo la capacidad de las herramientas de seguridad para monitorear su actividad.
Una vez que el entorno se considera seguro, el malware recupera su configuración desde una URL alojada en Google Cloud Storage, establece persistencia mediante tareas programadas y abre un canal de comunicación con su servidor de comando y control (C2) a través de WebSockets.
Fuente: https://zenox.ai/en/venon-the-first-brazilian-banker-rat-in-rust/
Robo de credenciales mediante overlays
Una vez que VENON alcanza la fase de ejecución, inicia una monitorización activa de los títulos de las ventanas y de los dominios visitados. Al identificar un objetivo financiero, el malware despliega superposiciones de interfaz diseñadas para imitar páginas bancarias (overlays), diseñadas para capturar credenciales de acceso de forma transparente para el usuario.
Adicionalmente, el malware implementa un mecanismo de manipulación de archivos de acceso directo (LNK manipulation). Mediante scripts, el ejecutable reemplaza accesos directos legítimos —incluyendo los de aplicaciones bancarias críticas como la del banco Itaú— por versiones modificadas. Estas versiones alteradas redirigen la ejecución hacia páginas de phishing controladas por los atacantes, asegurando que el usuario interactúe con el entorno malicioso desde el inicio de su sesión bancaria.
Un cambio técnico en el ecosistema de troyanos bancarios
El desarrollo de VENON en Rust marca un hito en la evolución del malware financiero en América Latina, alejándose de los binarios tradicionales compilados en Delphi, que han predominado en la región por años. Esta transición hacia un lenguaje moderno no solo mejora la eficiencia del código, sino que también dificulta la ingeniería inversa y el análisis estático.
A pesar del salto tecnológico, VENON mantiene una fuerte continuidad táctica con familias establecidas como Grandoreiro, Mekotio y Coyote, replicando componentes clave:
- Superposición de interfaz (Overlays): Renderización de pantallas falsas sobre servicios financieros.
- Monitorización de ventanas/dominios: Hooking activo para la detección de objetivos bancarios.
- Manipulación de archivos .LNK: Modificación persistente de accesos directos para la redirección a entornos de phishing.
El análisis del código sugiere que el autor posee un conocimiento profundo del ecosistema local, habiendo reimplementado funcionalidades clásicas en un entorno más seguro y moderno, posiblemente acelerado por el uso de IA generativa. Un dato relevante para la atribución es que las primeras muestras conservaban rutas de depuración (PDB paths) que revelaban un usuario local identificado como “byst4”, una pista crítica que vincula el entorno de compilación con la autoría del malware.
Fuente
https://zenox.ai/en/venon-the-first-brazilian-banker-rat-in-rust/
Ciberprisma - alianza por la ciberseguridad 