Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario escrito en Rust que se dirige a usuarios de Brasil. Esto es significativamente diferente de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano.
El malware está diseñado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, con el nombre en código VENON por la empresa brasileña de ciberseguridad ZenoX.
Lo notable de VENON es que su comportamiento es consistente con los troyanos bancarios existentes dirigidos a esta región, incluidos Grandoreiro, Mekotio y Coyote, especialmente con respecto a características como lógica de superposición bancaria, monitoreo activo de ventanas y mecanismos de secuestro de accesos directos (LNK).
Este malware no pertenece a ningún grupo o campaña previamente documentado. Sin embargo, se descubrió que una versión anterior del artefacto que data de enero de 2026 exponía la ruta completa desde el entorno de desarrollo del autor del malware. La ruta hace referencia repetidamente al nombre de usuario de la máquina Windows «byst4» (por ejemplo, «C:\Users\byst4\…»).
«La estructura del código de Rust muestra patrones que sugieren que los desarrolladores familiarizados con la funcionalidad de los troyanos bancarios latinoamericanos existentes utilizaron IA generativa para reescribir y ampliar estas funcionalidades en Rust. Este es un lenguaje que requiere una experiencia técnica significativa para usarlo en el nivel avanzado observado», dijo ZenoX.
VENON se distribuye a través de sofisticadas cadenas de infección que utilizan la descarga de archivos DLL para iniciar archivos DLL maliciosos. Se sospecha que la campaña utiliza tácticas de ingeniería social como ClickFix para engañar a los usuarios para que descarguen un archivo ZIP que contiene la carga útil mediante un script de PowerShell.
Una vez que se ejecuta la DLL, realiza nueve técnicas de evasión que incluyen comprobaciones anti-sandbox, llamadas indirectas al sistema, omisión de ETW y omisión de AMSI antes de iniciar acciones maliciosas. También accede a la URL de Google Cloud Storage para recuperar la configuración, instalar tareas programadas y establecer una conexión WebSocket con el servidor de comando y control (C2).
La DLL también extrae dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos destinado únicamente a la aplicación bancaria Itaú. Este componente funciona reemplazando los accesos directos legítimos del sistema con versiones modificadas que redirigen a las víctimas a páginas web bajo el control del atacante.
El ataque también admite un procedimiento de desinstalación que revierte los cambios, lo que sugiere que los operadores pueden controlar las operaciones de forma remota y revertir los atajos para cubrir sus huellas.
En general, este malware bancario está equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales mediante el monitoreo de títulos de ventanas y dominios de navegador activos, opera solo cuando se abre la aplicación o el sitio web objetivo y facilita el robo de credenciales al proporcionar una superposición falsa.
La divulgación se produce en medio de una campaña en la que actores de amenazas explotaron la popularidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a través de la versión web de escritorio de la plataforma de mensajería. Este ataque se basa en la explotación de chats previamente autenticados para entregar señuelos maliciosos directamente a las víctimas, lo que en última instancia conduce a la implementación de malware bancario como Maverick, Casbaneiro y Astaroth.
«Un solo mensaje de WhatsApp entregado a través de una sesión secuestrada de SORVEPOTEL fue suficiente para atraer a la víctima a una cadena de varios pasos que finalmente resultó en que el implante de Astaroth se ejecutara completamente en la memoria», dijo Blackpoint Cyber .
«La combinación de herramientas de automatización local, controladores de navegador no supervisados y un tiempo de ejecución grabable por el usuario creó un entorno inusualmente permisivo que permitió que tanto el gusano como la carga útil final se establecieran con una fricción mínima».
Source link
