Los investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasileños que está escrito en Rust, lo que marca una diferencia significativa con respecto a otros conocidos Familias de malware basadas en Delphi asociado con el ecosistema de ciberdelincuencia de América Latina.
El malware, que está diseñado para infectar los sistemas Windows y se descubrió por primera vez el mes pasado, lleva el nombre en código VENENO de la empresa brasileña de ciberseguridad ZenOx.
Lo que hace que VENON sea notable es que comparte comportamientos que son consistentes con los de los troyanos bancarios establecidos que atacan la región, como Grandoreiro, Mekotio y Coyote, específicamente en lo que respecta a funciones como la lógica de superposición bancaria, la monitorización activa de ventanas y un mecanismo de secuestro de atajos (LNK).
El malware no se ha atribuido a ningún grupo o campaña previamente documentado. Sin embargo, se ha descubierto que una versión anterior del artefacto, que data de enero de 2026, revelaba rutas completas desde el entorno de desarrollo del autor del malware. Las rutas hacen referencia repetidamente al nombre de usuario «byst4" de una máquina Windows (p. ej.," C:\Users\byst4\...»).
adsense«La estructura del código de Rust presenta patrones que sugieren a un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en Latinoamérica, pero que utilizó la IA generativa para reescribir y ampliar estas funcionalidades en Rust, un lenguaje que requiere una experiencia técnica significativa para usarlo con el nivel de sofisticación observado», ZenOx dijo .
VENON se distribuye mediante una sofisticada cadena de infección que utiliza la carga lateral de DLL para lanzar una DLL maliciosa. Se sospecha que la campaña aprovecha tácticas de ingeniería social como Haga clic en Fijar para engañar a los usuarios para que descarguen un archivo ZIP que contenga las cargas útiles mediante un script de PowerShell.
Una vez ejecutada, la DLL lleva a cabo nueve técnicas de evasión, incluidas las comprobaciones antisandbox, las llamadas indirectas al sistema, la omisión de ETW y la omisión de AMSI, antes de iniciar cualquier acción maliciosa. También accede a una URL de Google Cloud Storage para recuperar una configuración, instalar una tarea programada y establecer una conexión WebSocket con el servidor de comando y control (C2).
También se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de atajos dirigido exclusivamente a la aplicación bancaria del Itaú. Los componentes funcionan sustituyendo los atajos legítimos del sistema por versiones manipuladas que redirigen a la víctima a una página web bajo el control del autor de la amenaza.
El ataque también admite un paso de desinstalación para deshacer las modificaciones, lo que sugiere que el operador puede controlar la operación de forma remota para restaurar los atajos a lo que eran originalmente para cubrir las huellas.
En total, el malware bancario está equipado para atacar a 33 instituciones financieras y plataformas de activos digitales al monitorear el título de la ventana y el dominio del navegador activo, y solo entra en acción cuando se abre alguna de las aplicaciones o sitios web objetivo para facilitar el robo de credenciales al publicar superposiciones falsas.
enlacesLa revelación se produce en medio de campañas en las que los actores de amenazas explotan la ubicuidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de escritorio de la plataforma de mensajería. El ataque consiste en abusar de chats previamente autenticados para enviar mensajes maliciosos directamente a las víctimas, lo que en última instancia desemboca en el despliegue de malware bancario, como Maverick, Casbaneiro o Astaroth.
«Un solo mensaje de WhatsApp enviado a través de una sesión de SORVEPOTEL secuestrada bastaba para atraer a la víctima a una cadena de varias etapas que, en última instancia, resultó en que un implante de Astaroth funcionara completamente en la memoria», dijo Blackpoint Cyber dijo .
«La combinación de herramientas de automatización local, controladores de navegador no supervisados y tiempos de ejecución en los que los usuarios podían escribir creó un entorno inusualmente permisivo, lo que permitió que tanto el gusano como la carga útil final se establecieran con una fricción mínima».
Fuentes de Información: THEHACKERNEWS