Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Malware móvil Malware bancario VENON

Malware bancario VENON

Por Mezo en Malware móvil, Troyano bancario
Traducir a:

Investigadores de ciberseguridad han descubierto una nueva campaña de malware bancario dirigida a usuarios en Brasil. El malware, denominado VENON, marca un cambio significativo en el ecosistema del cibercrimen regional, ya que está escrito en el lenguaje de programación Rust en lugar del tradicionalmente utilizado Delphi.

Este cambio en el enfoque de desarrollo representa una evolución significativa en el malware bancario latinoamericano, que históricamente se ha basado en frameworks de Delphi. VENON ataca específicamente entornos Windows y fue descubierto inicialmente en febrero de 2026.

Paralelismos de comportamiento con troyanos bancarios establecidos

A pesar de su lenguaje de implementación moderno, VENON presenta comportamientos operativos consistentes con troyanos bancarios latinoamericanos bien conocidos como Grandoreiro, Mekotio y Coyote.

El malware integra varias capacidades típicamente asociadas con estas amenazas:

  • Lógica de superposición bancaria diseñada para suplantar interfaces financieras legítimas.
  • Monitoreo activo de ventanas para detectar aplicaciones o sitios web bancarios dirigidos.
  • Mecanismos de secuestro de accesos directos (LNK) para redirigir a las víctimas hacia infraestructuras maliciosas.

Estas similitudes sugieren que VENON fue diseñado con un conocimiento detallado de los patrones operativos utilizados por las campañas de malware bancario existentes en la región.

Pistas de desarrollo y posible uso de la IA generativa

Aún no se ha atribuido formalmente la campaña a ningún actor de amenazas o grupo ciberdelincuente conocido. Sin embargo, el análisis forense de una versión anterior de enero de 2026 reveló rastros del entorno del desarrollador incrustados en el binario. Las rutas de archivo hacen referencia repetidamente a un perfil de usuario de Windows denominado "byst4", como C:\Users\byst4..., lo que sugiere una posible información sobre la configuración de desarrollo del actor de amenazas.

El análisis del código indica una estructura coherente con la de desarrolladores familiarizados con las técnicas de malware bancario latinoamericano. Asimismo, el código fuente sugiere el posible uso de herramientas de IA generativa para refactorizar o ampliar funcionalidades previamente establecidas en Rust. Implementar dicha funcionalidad en Rust requiere una considerable experiencia técnica, lo que pone de manifiesto la sofisticación del proyecto.

Cadena de infección en múltiples etapas y tácticas de evasión

VENON se distribuye mediante una cadena de infección cuidadosamente estructurada que, en última instancia, ejecuta una biblioteca de enlace dinámico maliciosa mediante la carga lateral de DLL. Se cree que la campaña se basa en estrategias de ingeniería social similares a la técnica ClickFix para convencer a las víctimas de que descarguen un archivo ZIP que contiene la carga útil.

La ejecución comienza con un script de PowerShell que recupera y lanza los componentes maliciosos. Antes de iniciar cualquier actividad maliciosa, la DLL realiza un amplio conjunto de medidas de evasión defensivas:

  • Controles anti-sandbox
  • Llamadas indirectas al sistema para eludir la vigilancia de seguridad.
  • Técnicas para eludir ETW (Event Tracing for Windows)
  • Mecanismos de elusión de AMSI (Interfaz de escaneo antimalware)
  • Rutinas anti-análisis adicionales que conforman un total de nueve estrategias de evasión.

Tras superar estas comprobaciones, el malware recupera los datos de configuración de un recurso alojado en la nube, almacenado en la infraestructura de Google Cloud. A continuación, instala una tarea programada para garantizar su persistencia y establece una conexión WebSocket con su servidor de comando y control.

Ataque dirigido de secuestro de acceso directo contra el software bancario de Itaú

La DLL maliciosa también contiene dos scripts incrustados escritos en Visual Basic Script. Estos scripts implementan una operación de secuestro de acceso directo dirigida específicamente a la aplicación de escritorio de Itaú Unibanco.

Este mecanismo reemplaza los accesos directos legítimos del sistema con versiones manipuladas que redirigen a las víctimas a páginas web controladas por el atacante, diseñadas para capturar credenciales financieras confidenciales. Este enfoque selectivo indica un fuerte énfasis en las plataformas bancarias de alto valor en Brasil.

Curiosamente, el malware incluye una función de desinstalación que permite restaurar los accesos directos originales. Esta funcionalidad implica el control remoto por parte del operador y permite a los atacantes eliminar cualquier rastro de la intrusión una vez finalizada la operación.

Estrategia integral de focalización financiera y robo de credenciales

VENON está diseñado para monitorizar tanto los títulos de las ventanas activas como los dominios del navegador, lo que le permite detectar cuándo los usuarios acceden a servicios financieros. El malware está configurado para reconocer la actividad relacionada con 33 instituciones financieras y plataformas de activos digitales.

Una vez detectada una aplicación o sitio web objetivo, el malware despliega pantallas superpuestas fraudulentas que imitan las interfaces de inicio de sesión legítimas. Las víctimas que interactúan con estas pantallas envían sin saberlo sus credenciales directamente a los atacantes, lo que permite el robo de cuentas y el hurto financiero.

Tendencias

Mas Visto

Cargando...