){kind=link}
A ZenoX, empresa brasileira de cibersegurança, identificou um programa malicioso inédito capaz de interceptar transferências Pix em tempo real, desviar pagamentos de boletos bancários e roubar criptomoedas de carteiras digitais.
O malware, batizado de VENON, foi descoberto em fevereiro de 2026 e representa uma mudança significativa no perfil das ameaças financeiras digitais no Brasil.
smart_display
Nossos vídeos em destaque
O que torna o VENON diferente
O VENON é classificado como um RAT bancário, sigla para Trojan de Acesso Remoto. Trata-se de um programa malicioso que, uma vez instalado no computador da vítima, permite ao criminoso controlar a máquina à distância.
O que diferencia o VENON de todos os outros malwares financeiros conhecidos na América Latina é a linguagem em que foi escrito. Todos os trojans bancários brasileiros e latino-americanos conhecidos até hoje foram desenvolvidos em Delphi, uma linguagem de programação de 1995 amplamente usada justamente por ser mais simples de desenvolver e mais fácil de analisar por especialistas em segurança.
O VENON foi escrito inteiramente em Rust, uma linguagem moderna criada pela Mozilla, que gera programas muito mais difíceis de desmontar e analisar. A ZenoX afirma que se trata do primeiro banker RAT brasileiro desenvolvido completamente em Rust já documentado.
Como a vítima é infectada
A infecção começa com engenharia social, uma técnica de manipulação psicológica usadas para enganar pessoas. A vítima recebe um e-mail falso, acessa uma página que imita um portal legítimo ou clica em um anúncio patrocinado malicioso. Em todos os casos, a execução do malware depende de uma ação voluntária da vítima.
O arquivo executado é um script batch, um tipo de arquivo de texto com uma lista de comandos automáticos para o Windows. Esse script verifica se está rodando com permissões de administrador e, se não estiver, abre aquela janela de confirmação do Windows pedindo autorização. Se a vítima clicar em “Sim”, o script passa a ter controle total do sistema.
Em seguida, o script baixa da internet um arquivo compactado hospedado em um servidor da Amazon AWS, um serviço legítimo de armazenamento em nuvem. O uso de serviços legítimos e amplamente conhecidos dificulta o bloqueio por parte de firewalls corporativos e ferramentas de segurança.
Dentro desse arquivo estão dois programas. O primeiro é o NVIDIANotification.exe, um instalador genuíno e assinado digitalmente pela NVIDIA. O segundo é a libcef.dll, uma biblioteca de funções que o instalador da NVIDIA precisa para funcionar, mas que neste caso foi substituída por uma versão maliciosa.
Quando o Windows executa o instalador da NVIDIA, ele carrega automaticamente a versão maliciosa da biblioteca. Esse golpe é chamado de DLL Sideloading. O resultado é que, no Gerenciador de Tarefas, o processo aparece com o nome e a assinatura digital da NVIDIA, ou seja, com aparência completamente legítima.
Nove camadas para escapar de antivírus
Antes de fazer qualquer coisa maliciosa, o VENON executa nove técnicas de evasão em sequência, para se esconder de ferramentas de segurança.
O malware desabilita o AMSI, uma interface do Windows que permite que antivírus inspecionem scripts antes de executá-los. Também desabilita o ETW, um sistema de registro de eventos que ferramentas de monitoramento usam para acompanhar o que os programas estão fazendo.
A técnica mais sofisticada é o ntdll overwrite. Muitos antivírus instalam pequenos ganchos de monitoramento numa biblioteca fundamental do Windows chamada ntdll.dll. O VENON lê a versão original dessa biblioteca do disco e a substitui na memória, removendo todos esses ganchos.
O malware também se torna invisível para ferramentas de análise usadas por pesquisadores de segurança, modifica sua própria lista de permissões para negar acesso externo ao seu processo e configura suas janelas falsas para aparecerem como tela preta em capturas de tela.
O que acontece depois da instalação
Com as defesas contornadas, o malware busca o endereço do servidor dos criminosos. Esse servidor é chamado de C2, sigla para Comando e Controle. É de lá que partem as ordens para o malware nas máquinas infectadas.
O endereço do C2 não fica escrito diretamente no código do malware. O programa primeiro consulta um serviço público e legítimo, como o Google Cloud Storage, para obter esse endereço de forma cifrada.
A informação está protegida por três camadas de criptografia de última geração, incluindo algoritmos chamados de Argon2id e XChaCha20-Poly1305, considerados estado da arte, ou seja, o nível de maior qualidade, em segurança criptográfica.
Uma vez conectado ao servidor dos criminosos, o malware monitora continuamente quais janelas estão abertas no computador da vítima.
O VENON tem uma lista de 33 alvos financeiros, incluindo Itaú, Santander, Caixa Econômica Federal, Banco do Brasil, Nubank, Banco Inter, BTG Pactual, Receita Federal, PicPay, Mercado Pago e exchanges de criptomoedas como Binance, Coinbase e Kraken. Também monitora carteiras digitais como MetaMask e Ledger Live.
Ao detectar qualquer um desses alvos, o criminoso é imediatamente notificado no painel de controle.
Como o dinheiro é desviado
O VENON usa três métodos principais para roubar dinheiro.
O primeiro é o Pix QR swap. Quando a vítima está prestes a escanear um QR code de Pix, o malware detecta o código na tela em tempo real e o substitui por um QR que aponta para a chave Pix do criminoso. A troca acontece antes que a vítima perceba qualquer diferença visual.
O segundo é o boleto swap. Quando a vítima copia a linha digitável de um boleto para colar no banco, o malware substitui silenciosamente aquela sequência de números pela linha de um boleto dos criminosos.
O detalhe técnico é que o VENON recalcula automaticamente os dígitos verificadores do boleto falso, fazendo com que ele passe na validação do banco sem levantar suspeitas.
)
O terceiro é o clipboard swap para criptomoedas. O clipboard é a área de transferência do computador, onde ficam os dados quando a vítima usa Copiar e Colar. Quando a vítima copia o endereço de uma carteira de criptomoeda para fazer uma transferência, o malware substitui esse endereço pelo da carteira do criminoso.
O VENON valida criptograficamente o formato do endereço antes de trocá-lo, garantindo que a substituição não seja detectada por inconsistências no texto.
Além disso, o malware pode exibir telas falsas sobrepostas às páginas legítimas dos bancos para capturar senhas, tokens de autenticação e assinaturas eletrônicas digitadas pela vítima.
O painel de controle em português
Os pesquisadores da ZenoX acessaram o painel de controle do VENON durante a investigação. O painel, chamado de “Remote Administration System v3.0”, é uma interface web inteiramente em português brasileiro, confirmando a origem nacional do operador.
A partir do painel, o criminoso consegue ver em tempo real todas as vítimas conectadas, configurar as chaves Pix e contas bancárias para onde o dinheiro deve ser desviado e distribuir atualizações do malware para todos os computadores infectados ao mesmo tempo, sem precisar reinfectá-los.
A pista que expôs o desenvolvedor
Os pesquisadores encontraram uma pista sobre a identidade do desenvolvedor em uma versão anterior do malware. Quando um programa é compilado, ou seja, transformado de código legível por humanos em código executável pelo computador, o compilador muitas vezes inclui no arquivo final os caminhos das pastas do computador do desenvolvedor.
Nessa versão anterior, estava visível que o código havia sido compilado em C:\Users\byst4\…. Isso expôs o nome de usuário da máquina onde o malware foi criado.
A ZenoX também localizou um repositório deletado no GitHub vinculado ao mesmo usuário, que continha um script de configuração de infraestrutura para servidores C2, com uma rota idêntica à usada pelo malware.
A versão mais recente do VENON não contém mais essas informações, indicando que o desenvolvedor percebeu o erro e o corrigiu.
O papel da inteligência artificial
A ZenoX levanta a hipótese de que o VENON pode ter sido desenvolvido com auxílio extensivo de IA generativa, as ferramentas de inteligência artificial que geram código automaticamente a partir de descrições em linguagem natural. Essa prática ficou conhecida como “vibe coding”.
Os padrões observados sugerem que o desenvolvedor pode ter pedido para uma IA reescrever funcionalidades de trojans bancários já conhecidos, originalmente escritos em Delphi, usando a linguagem Rust.
Se confirmada, essa seria uma das primeiras evidências documentadas do uso de IA para o desenvolvimento de malware bancário na América Latina.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.