VENON: malware brasileiro troca seu Pix na hora do pagamento

A ZenoX, empresa brasileira de cibersegurança, identificou um programa malicioso inédito capaz de interceptar transferências Pix em tempo real, desviar pagamentos de boletos bancários e roubar criptomoedas de carteiras digitais. 

O malware, batizado de VENON, foi descoberto em fevereiro de 2026 e representa uma mudança significativa no perfil das ameaças financeiras digitais no Brasil.

O que torna o VENON diferente

O VENON é classificado como um RAT bancário, sigla para Trojan de Acesso Remoto. Trata-se de um programa malicioso que, uma vez instalado no computador da vítima, permite ao criminoso controlar a máquina à distância.

O que diferencia o VENON de todos os outros malwares financeiros conhecidos na América Latina é a linguagem em que foi escrito. Todos os trojans bancários brasileiros e latino-americanos conhecidos até hoje foram desenvolvidos em Delphi, uma linguagem de programação de 1995 amplamente usada justamente por ser mais simples de desenvolver e mais fácil de analisar por especialistas em segurança.

O VENON foi escrito inteiramente em Rust, uma linguagem moderna criada pela Mozilla, que gera programas muito mais difíceis de desmontar e analisar. A ZenoX afirma que se trata do primeiro banker RAT brasileiro desenvolvido completamente em Rust já documentado.

Como a vítima é infectada

A infecção começa com engenharia social, uma técnica de manipulação psicológica usadas para enganar pessoas. A vítima recebe um e-mail falso, acessa uma página que imita um portal legítimo ou clica em um anúncio patrocinado malicioso. Em todos os casos, a execução do malware depende de uma ação voluntária da vítima.

O arquivo executado é um script batch, um tipo de arquivo de texto com uma lista de comandos automáticos para o Windows. Esse script verifica se está rodando com permissões de administrador e, se não estiver, abre aquela janela de confirmação do Windows pedindo autorização. Se a vítima clicar em “Sim”, o script passa a ter controle total do sistema.

Em seguida, o script baixa da internet um arquivo compactado hospedado em um servidor da Amazon AWS, um serviço legítimo de armazenamento em nuvem. O uso de serviços legítimos e amplamente conhecidos dificulta o bloqueio por parte de firewalls corporativos e ferramentas de segurança.

Dentro desse arquivo estão dois programas. O primeiro é o NVIDIANotification.exe, um instalador genuíno e assinado digitalmente pela NVIDIA. O segundo é a libcef.dll, uma biblioteca de funções que o instalador da NVIDIA precisa para funcionar, mas que neste caso foi substituída por uma versão maliciosa.

Quando o Windows executa o instalador da NVIDIA, ele carrega automaticamente a versão maliciosa da biblioteca. Esse golpe é chamado de DLL Sideloading. O resultado é que, no Gerenciador de Tarefas, o processo aparece com o nome e a assinatura digital da NVIDIA, ou seja, com aparência completamente legítima.

Nove camadas para escapar de antivírus

Antes de fazer qualquer coisa maliciosa, o VENON executa nove técnicas de evasão em sequência, para se esconder de ferramentas de segurança.

O malware desabilita o AMSI, uma interface do Windows que permite que antivírus inspecionem scripts antes de executá-los. Também desabilita o ETW, um sistema de registro de eventos que ferramentas de monitoramento usam para acompanhar o que os programas estão fazendo.

A técnica mais sofisticada é o ntdll overwrite. Muitos antivírus instalam pequenos ganchos de monitoramento numa biblioteca fundamental do Windows chamada ntdll.dll. O VENON lê a versão original dessa biblioteca do disco e a substitui na memória, removendo todos esses ganchos.

O malware também se torna invisível para ferramentas de análise usadas por pesquisadores de segurança, modifica sua própria lista de permissões para negar acesso externo ao seu processo e configura suas janelas falsas para aparecerem como tela preta em capturas de tela.

O que acontece depois da instalação

Com as defesas contornadas, o malware busca o endereço do servidor dos criminosos. Esse servidor é chamado de C2, sigla para Comando e Controle. É de lá que partem as ordens para o malware nas máquinas infectadas.

O endereço do C2 não fica escrito diretamente no código do malware. O programa primeiro consulta um serviço público e legítimo, como o Google Cloud Storage, para obter esse endereço de forma cifrada. 

A informação está protegida por três camadas de criptografia de última geração, incluindo algoritmos chamados de Argon2id e XChaCha20-Poly1305, considerados estado da arte, ou seja, o nível de maior qualidade, em segurança criptográfica.

Uma vez conectado ao servidor dos criminosos, o malware monitora continuamente quais janelas estão abertas no computador da vítima. 

O VENON tem uma lista de 33 alvos financeiros, incluindo Itaú, Santander, Caixa Econômica Federal, Banco do Brasil, Nubank, Banco Inter, BTG Pactual, Receita Federal, PicPay, Mercado Pago e exchanges de criptomoedas como Binance, Coinbase e Kraken. Também monitora carteiras digitais como MetaMask e Ledger Live.

Ao detectar qualquer um desses alvos, o criminoso é imediatamente notificado no painel de controle.

Como o dinheiro é desviado

O VENON usa três métodos principais para roubar dinheiro.

O primeiro é o Pix QR swap. Quando a vítima está prestes a escanear um QR code de Pix, o malware detecta o código na tela em tempo real e o substitui por um QR que aponta para a chave Pix do criminoso. A troca acontece antes que a vítima perceba qualquer diferença visual.

O segundo é o boleto swap. Quando a vítima copia a linha digitável de um boleto para colar no banco, o malware substitui silenciosamente aquela sequência de números pela linha de um boleto dos criminosos. 

O detalhe técnico é que o VENON recalcula automaticamente os dígitos verificadores do boleto falso, fazendo com que ele passe na validação do banco sem levantar suspeitas.

O terceiro é o clipboard swap para criptomoedas. O clipboard é a área de transferência do computador, onde ficam os dados quando a vítima usa Copiar e Colar. Quando a vítima copia o endereço de uma carteira de criptomoeda para fazer uma transferência, o malware substitui esse endereço pelo da carteira do criminoso. 

O VENON valida criptograficamente o formato do endereço antes de trocá-lo, garantindo que a substituição não seja detectada por inconsistências no texto.

Além disso, o malware pode exibir telas falsas sobrepostas às páginas legítimas dos bancos para capturar senhas, tokens de autenticação e assinaturas eletrônicas digitadas pela vítima.

O painel de controle em português

Os pesquisadores da ZenoX acessaram o painel de controle do VENON durante a investigação. O painel, chamado de “Remote Administration System v3.0”, é uma interface web inteiramente em português brasileiro, confirmando a origem nacional do operador.

A partir do painel, o criminoso consegue ver em tempo real todas as vítimas conectadas, configurar as chaves Pix e contas bancárias para onde o dinheiro deve ser desviado e distribuir atualizações do malware para todos os computadores infectados ao mesmo tempo, sem precisar reinfectá-los.

A pista que expôs o desenvolvedor

Os pesquisadores encontraram uma pista sobre a identidade do desenvolvedor em uma versão anterior do malware. Quando um programa é compilado, ou seja, transformado de código legível por humanos em código executável pelo computador, o compilador muitas vezes inclui no arquivo final os caminhos das pastas do computador do desenvolvedor.

Nessa versão anterior, estava visível que o código havia sido compilado em C:\Users\byst4\…. Isso expôs o nome de usuário da máquina onde o malware foi criado. 

A ZenoX também localizou um repositório deletado no GitHub vinculado ao mesmo usuário, que continha um script de configuração de infraestrutura para servidores C2, com uma rota idêntica à usada pelo malware.

A versão mais recente do VENON não contém mais essas informações, indicando que o desenvolvedor percebeu o erro e o corrigiu.

O papel da inteligência artificial

A ZenoX levanta a hipótese de que o VENON pode ter sido desenvolvido com auxílio extensivo de IA generativa, as ferramentas de inteligência artificial que geram código automaticamente a partir de descrições em linguagem natural. Essa prática ficou conhecida como “vibe coding”.

Os padrões observados sugerem que o desenvolvedor pode ter pedido para uma IA reescrever funcionalidades de trojans bancários já conhecidos, originalmente escritos em Delphi, usando a linguagem Rust.

Se confirmada, essa seria uma das primeiras evidências documentadas do uso de IA para o desenvolvimento de malware bancário na América Latina.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.