Pesquisadores da ZenoX identificaram um novo malware capaz de interceptar transferências Pix, alterar boletos bancários e roubar criptomoedas de carteiras digitais.
O programa malicioso, chamado VENON, foi descoberto em fevereiro de 2026 e representa uma evolução relevante nas ameaças financeiras digitais que circulam no Brasil.
Um RAT bancário com tecnologia incomum
O VENON é classificado como um RAT bancário (Remote Access Trojan). Esse tipo de malware permite que criminosos controlem remotamente o computador da vítima após a infecção.
O que torna o VENON particularmente incomum é a linguagem usada no desenvolvimento. A maioria dos trojans bancários da América Latina foi escrita em Delphi, uma tecnologia criada nos anos 1990 e tradicionalmente usada por criminosos devido à simplicidade de desenvolvimento.
Já o VENON foi desenvolvido inteiramente em Rust, linguagem moderna criada pela Mozilla. Programas escritos em Rust costumam ser mais complexos de analisar e desmontar, o que dificulta o trabalho de especialistas em segurança.
Segundo a ZenoX, este é o primeiro trojan bancário brasileiro totalmente escrito em Rust já documentado.
Como a infecção acontece
O ataque começa com engenharia social, uma técnica que manipula o usuário para que ele execute o malware sem perceber.
As vítimas podem ser levadas ao arquivo malicioso por meio de:
- e-mails falsos
- páginas que imitam sites legítimos
- anúncios patrocinados maliciosos
O arquivo inicial executado é um script batch do Microsoft Windows, contendo comandos automatizados. Esse script verifica se está rodando com permissões de administrador e solicita autorização caso necessário.
Se o usuário permitir, o script passa a ter controle total do sistema.
Em seguida, ele baixa um arquivo hospedado na infraestrutura da Amazon Web Services. O uso de serviços legítimos de nuvem ajuda a evitar bloqueios por ferramentas de segurança.
Dentro desse pacote existem dois arquivos:
- NVIDIANotification.exe, um instalador legítimo da NVIDIA
- libcef.dll, biblioteca adulterada que contém o malware
Quando o instalador da NVIDIA é executado, ele carrega automaticamente a biblioteca maliciosa. Essa técnica é conhecida como DLL side-loading. O processo aparece no sistema como se fosse um programa legítimo da NVIDIA, dificultando a detecção.
Técnicas avançadas para escapar de antivírus
Antes de iniciar as ações maliciosas, o VENON executa nove mecanismos de evasão para evitar ferramentas de segurança.
Entre eles estão:
- desativação do AMSI, sistema do Windows que permite análise de scripts por antivírus
- desativação do ETW, mecanismo usado para registrar eventos do sistema
- técnica de ntdll overwrite, que remove ganchos de monitoramento usados por antivírus
O malware também bloqueia ferramentas de análise utilizadas por pesquisadores, restringe acesso externo ao seu próprio processo e manipula janelas falsas para aparecerem como telas pretas em capturas de tela.
Comunicação com os criminosos
Após escapar das defesas, o VENON procura o endereço do servidor de Comando e Controle (C2) — sistema usado pelos criminosos para enviar instruções às máquinas infectadas.
Esse endereço não está diretamente no código do malware. Em vez disso, o programa consulta serviços públicos, como o Google Cloud Storage, para obter o endereço cifrado.
A comunicação é protegida por múltiplas camadas de criptografia, incluindo os algoritmos Argon2id e XChaCha20-Poly1305, considerados altamente avançados.
Monitoramento de bancos e serviços financeiros
Depois de conectado ao servidor dos criminosos, o malware monitora continuamente as janelas abertas no computador da vítima.
O VENON possui uma lista de 33 alvos financeiros, incluindo:
- Itaú Unibanco
- Santander Brasil
- Caixa Econômica Federal
- Banco do Brasil
- Nubank
- Banco Inter
- BTG Pactual
O malware também acompanha serviços de pagamento e exchanges de criptomoedas como Binance, Coinbase e Kraken, além de carteiras digitais como MetaMask e Ledger Live.
Sempre que um desses serviços é detectado, o operador do malware recebe uma notificação imediata.
Como o dinheiro é desviado
O VENON utiliza três métodos principais para roubar dinheiro das vítimas.
O primeiro é o Pix QR swap. Quando a vítima está prestes a escanear um QR Code para pagamento, o malware substitui o código exibido na tela por outro vinculado à conta do criminoso.
O segundo é o boleto swap. Ao copiar a linha digitável de um boleto, o malware troca silenciosamente os números por um boleto controlado pelos atacantes — recalculando inclusive os dígitos verificadores para evitar suspeitas.
O terceiro método é o clipboard swap para criptomoedas. Quando a vítima copia o endereço de uma carteira digital, o malware substitui o endereço pelo da carteira do criminoso.
O VENON ainda valida criptograficamente o formato do endereço para garantir que a substituição não gere erros visíveis.
Além disso, o malware pode exibir telas falsas sobre páginas bancárias para capturar senhas, tokens de autenticação e assinaturas eletrônicas.
Painel de controle em português
Durante a investigação, os pesquisadores da ZenoX conseguiram acessar o painel de controle do malware.
A interface web, chamada “Remote Administration System v3.0”, está totalmente em português brasileiro e permite ao operador acompanhar em tempo real todas as vítimas infectadas.
A partir do painel, o criminoso consegue:
- visualizar computadores comprometidos
- definir contas bancárias e chaves Pix para onde o dinheiro será enviado
- distribuir atualizações do malware remotamente
Pistas sobre o desenvolvedor
Uma versão anterior do malware revelou uma pista importante. Durante a compilação do programa, ficou registrado o caminho C:\Users\byst4\, indicando o nome de usuário da máquina usada no desenvolvimento.
Os pesquisadores também localizaram um repositório removido no GitHub associado ao mesmo usuário, contendo scripts de configuração de servidores C2 com estrutura semelhante à usada pelo VENON.
A versão mais recente do malware já removeu esses rastros.
Possível uso de inteligência artificial
A ZenoX levanta a hipótese de que o VENON possa ter sido desenvolvido com auxílio de IA generativa, ferramentas capazes de produzir código a partir de descrições em linguagem natural.
Essa prática vem sendo chamada informalmente de “vibe coding”.
Os padrões do código indicam que o desenvolvedor pode ter pedido a uma IA para reescrever funcionalidades de trojans bancários antigos — originalmente criados em Delphi — utilizando a linguagem Rust.
Se essa hipótese se confirmar, o VENON pode representar um dos primeiros casos documentados de malware bancário na América Latina desenvolvido com apoio direto de inteligência artificial.
Existe um padrão curioso na evolução do cibercrime: quando novas ferramentas aparecem, criminosos também aprendem a usá-las rapidamente. Linguagens modernas, computação em nuvem e IA — tecnologias criadas para acelerar inovação — acabam virando também ferramentas no laboratório clandestino do malware. A tecnologia em si é neutra; quem decide o lado da força é sempre o humano no teclado.
