Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasileños que está escrito en Rust, lo que marca una desviación significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen iberoamericano.
El malware, que está diseñado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, lleva el nombre en código PRÓXIMO por la empresa brasileña de ciberseguridad ZenoX.
Lo que hace que VENON sea trascendente es que comparte comportamientos que son consistentes con los troyanos bancarios establecidos que apuntan a la región, como Grandoreiro, Mekotio y Coyote, específicamente cuando se alcahuetería de características como dialéctica de superposición bancaria, monitoreo activo de ventanas y un mecanismo de secuestro de entrada directo (LNK).
El malware no se ha atribuido a ningún conjunto o campaña documentado previamente. Sin incautación, se descubrió que una lectura preliminar del artefacto, que data de enero de 2026, expone rutas completas del entorno de mejora del autor del malware. Las rutas hacen remisión repetidamente a un nombre de agraciado de máquina Windows “byst4” (por ejemplo, “C:Usersbyst4…”).
“La estructura del código de Rust presenta patrones que sugieren un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en América Latina, pero que utilizó IA generativa para reescribir y expandir estas funcionalidades en Rust, un jerigonza que requiere una experiencia técnica significativa para usarlo con el nivel de sofisticación observado”, dijo ZenoX.
VENON se distribuye mediante una sofisticada cautiverio de infección que utiliza la carga anexo de DLL para iniciar una DLL maliciosa. Se sospecha que la campaña aprovecha estrategias de ingeniería social como ClickFix para engañar a los usuarios para que descarguen un archivo ZIP que contiene las cargas efectos mediante un script de PowerShell.
Una vez que se ejecuta la DLL, realiza nueve técnicas de despreocupación, incluidas comprobaciones anti-sandbox, llamadas al sistema indirectas, omisión de ETW y omisión de AMSI, ayer de iniciar cualquier batalla maliciosa. Asimismo accede a una URL de Google Cloud Storage para recuperar una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2).
Asimismo se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos dirigido exclusivamente a la aplicación bancaria Itaú. Los componentes funcionan reemplazando los accesos directos legítimos del sistema con versiones manipuladas que redirigen a la víctima a una página web bajo el control del actor de la amenaza.
El ataque asimismo admite un paso de desinstalación para deshacer las modificaciones, lo que sugiere que el cirujano puede controlar remotamente la operación para restaurar los accesos directos a lo que eran originalmente para cubrir las pistas.
En total, el malware bancario está equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales al monitorear el título de la ventana y el dominio activo del navegador, y entra en batalla solo cuando cualquiera de las aplicaciones o sitios web objetivo se abre para favorecer el robo de credenciales al ofrecer superposiciones falsas.
La divulgación se produce en medio de campañas en las que actores de amenazas están explotando la omnipresencia de WhatsApp en Brasil para distribuir un insignificante llamado SORVEPOTEL a través de la lectura web de escritorio de la plataforma de correo. El ataque se basamento en el exageración de chats previamente autenticados para entregar señuelos maliciosos directamente a las víctimas, lo que en última instancia resulta en la implementación de malware bancario como Maverick, Casbaneiro o Astaroth.
“Un solo mensaje de WhatsApp entregado a través de una sesión secuestrada de SORVEPOTEL fue suficiente para atraer a una víctima a una cautiverio de múltiples etapas que finalmente resultó en un implante de Astaroth funcionando completamente en la memoria”, dijo Blackpoint Cyber.
“La combinación de herramientas de automatización regional, controladores de navegador no supervisados y tiempos de ejecución modificables por el agraciado crearon un entorno inusualmente permisivo, permitiendo que tanto el insignificante como la carga útil final se establecieran con una fricción mínima”.
