Trojan VENON para ataques bancários na América Latina reescrito em Rust com ajuda de IA

Pesquisadores descreveram um novo trojan bancário VENON que ataca usuários do Windows e imita o comportamento de malware latino-americano conhecido. A principal diferença é que o malware foi escrito em Rust, e sua estrutura, segundo analistas, indica uso ativo de IA generativa no desenvolvimento.

Por Que Isso É Incomum

Para o segmento de trojans bancários latino-americanos, essa abordagem é atípica. A região tem sido dominada há muito tempo por famílias como Grandoreiro, Mekotio e Coyote, normalmente escritas em Delphi. VENON, no entanto, reproduz sua lógica-chave: monitora janelas ativas, substitui a interface do usuário de páginas bancárias e intercepta atalhos do Windows.

Essencialmente, os atacantes não inventaram um novo mecanismo de ataque, mas pegaram um modelo familiar e o transportaram para uma pilha tecnológica diferente. É precisamente a escolha do Rust que torna essa história notável. Essa linguagem requer proficiência técnica mais elevada do que um construtor de malware típico ou montagem rápida em ferramentas familiares.

Pesquisadores acreditam que o autor do malware entendia como os ataques bancários locais funcionam, mas contou com IA generativa para recriar e expandir esse conjunto de funções em Rust. Isso não é mais simplesmente copiar código de outra pessoa, mas uma nova forma de montar rapidamente ferramentas maliciosas maduras a partir de padrões familiares.

Como o VENON Funciona

O esquema de infecção do VENON é multi-estágio. De acordo com pesquisadores, o malware é executado via side-loading de DLL e pode ser entregue às vítimas através de um arquivo ZIP e script PowerShell. A técnica ClickFix também é mencionada, na qual usuários são socialmente engenheirados para lançar a cadeia maliciosa eles mesmos. Após o DLL iniciar, ele não se apressará em se manifestar: primeiro verifica o ambiente e tenta verificar se não caiu em uma sandbox ou sob observação de ferramentas de segurança.

• Verifica se a amostra está sendo executada em um ambiente virtual
• Usa chamadas de sistema indiretas para ocultar atividade
• Tenta contornar ETW e AMSI antes de executar a carga útil
• Carrega configuração do Google Cloud Storage e cria uma tarefa no agendador
• Abre uma conexão WebSocket com o servidor de comando

A seguir, o malware passa para a atividade direcionada. Dois scripts Visual Basic são injetados da DLL para interceptar atalhos de sistema do Windows; o relatório indica que eles visam o aplicativo bancário Itaú. Simultaneamente, VENON monitora títulos de janelas do navegador e domínios ativos.

Se um usuário abre um dos serviços de interesse, o trojan sobrepõe uma camada falsa na tela e intercepta credenciais. A lista de alvos inclui 33 organizações financeiras e plataformas de criptografia. Outro detalhe é um mecanismo de reversão integrado.

Depois de substituir atalhos, o malware pode restaurá-los ao estado original, presumivelmente para ocultar rastros do ataque. Isso não faz do VENON um avanço tecnológico, mas mostra que o autor pensou não apenas no roubo de dados, mas também em ocultar pistas após a operação. Este conjunto de técnicas torna a campanha mais resiliente: uma vítima pode não compreender imediatamente que seu login em um banco ou serviço de criptografia ocorreu através de uma interface falsificada.

Por Que IA Generativa É Suspeita

A hipótese de IA generativa não surgiu de um único marcador óbvio, mas da estrutura geral do projeto. Analistas da ZenoX acreditam que o desenvolvedor claramente modelou trojans bancários regionais conhecidos, mas usou IA para portar essa lógica para Rust e expandir a funcionalidade. Em outras palavras, o autor não era um completo novato, mas parte do trabalho de engenharia poderia ter sido acelerada através de LLMs e o chamado vibe coding.

Vincular VENON a um grupo de cibercrime específico ainda não foi possível. Em uma amostra inicial datada de janeiro de 2026, pesquisadores encontraram um artefato com o nome de usuário byst4, mas isso é insuficiente para atribuição confiante. Para o mercado de cibersegurança, uma conclusão diferente é mais importante: modelos generativos já estão ajudando não apenas a escrever utilitários e protótipos inofensivos, mas também a empacotar lógica maliciosa em uma pilha mais moderna e menos familiar para analistas.

O Que Isso Significa

A história do VENON mostra que IA reduz a barreira de entrada até mesmo para projetos de malware complexos, mas não elimina a necessidade de conhecimento de táticas de ataque. Para defensores, este é um sinal para fortalecer análise comportamental, prestar mais atenção a componentes Rust e levar em conta que a próxima onda de trojans bancários pode ser montada mais rápido do que assinaturas clássicas são atualizadas.