# VENON Banking Trojan - Nova Geração em Rust - 2026 > [!abstract] Resumo > Descoberto pela ZenoX em janeiro de 2026, o [[venon-banking-campaign-2026]] representa uma ruptura geracional no cenário de malware bancário brasileiro: desenvolvido em Rust (abandonando a tradição Delphi), alvejá 33 bancos nacionais com foco em transações PIX e emprega 9 técnicas de evasão incluindo bypass de AMSI e ETW. **Data:** Janeiro de 2026 | **Categoria:** Financial Crime --- ## O que aconteceu Em janeiro de 2026, pesquisadores da ZenoX identificaram e documentaram o [[venon-banking-campaign-2026]] - um novo trojan bancário brasileiro que marca uma mudança significativa no ecossistema de ameaças financeiras da [[América Latina]]. Diferente da linhagem tradicional de trojans bancários brasileiros baseados em Delphi ([[s0531-grandoreiro|Grandoreiro]], [[s0373-astaroth]], [[brasdex|BrasDex]], [[gopix|GoPIX]]), o VENON foi desenvolvido inteiramente em Rust, linguagem que oferece vantagens significativas em termos de performance, segurança de memória e dificuldade de análise reversa. O VENON alvejá **33 instituições bancárias brasileiras**, com foco particular em transações via **PIX** - o sistema de pagamentos instantâneos do Banco Central do Brasil que movimenta trilhões de reais anualmente. O malware monitora a área de transferência e intercepta transações PIX em tempo real, redirecionando pagamentos para contas controladas pelos atacantes. O vetor de entrega primário é [[t1566-phishing|T1566 - Phishing|phishing]] com documentos maliciosos que se passam por boletos bancários, comprovantes de transferência e notificações fiscais - temáticas consistentes com campanhas de malware bancário brasileiro. O VENON emprega **9 técnicas de evasão** documentadas, incluindo bypass de AMSI (Antimalware Scan Interface), desativação de ETW (Event Tracing for Windows), [[t1055-process-injection|T1055 - Process Injection|injeção de processo]], [[t1562-impair-defenses|T1562 - Impair Defenses|desativação de defesas]] e [[t1036-masquerading|T1036 - Masquerading|mascaramento de processos]]. A descoberta é significativa porque indica uma evolução tecnológica no ecossistema de cibercrime financeiro brasileiro: atores locais estão adotando linguagens modernas e técnicas de evasão sofisticadas que anteriormente eram associadas apenas a grupos APT de estados-nação. --- ## Atores e Ferramentas - **Malware:** [[venon-banking-campaign-2026]] (trojan bancário, Rust) - **Campanha:** [[venon-banking-campaign-2026]] - **Ator:** Desconhecido - provável grupo de cibercrime financeiro brasileiro - **Alvos:** 33 bancos brasileiros, foco em PIX - **Técnicas MITRE:** [[t1566-phishing|T1566 - Phishing]], [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]], [[t1036-masquerading|T1036 - Masquerading]], [[t1055-process-injection|T1055 - Process Injection]], [[t1562-impair-defenses|T1562 - Impair Defenses]] - **Evasão:** Bypass de AMSI, desativação de ETW, anti-debugging, anti-VM --- ## Impacto O VENON representa uma ameaça direta ao [[financial|setor financeiro]] brasileiro. A adoção de Rust dificulta significativamente a análise por ferramentas tradicionais de sandbox e engenharia reversa, que são otimizadas para binários Delphi e .NET - os formatos historicamente predominantes no malware bancário brasileiro. O foco em PIX é particularmente preocupante dado o volume de transações processadas pelo sistema: em 2025, o PIX movimentou mais de R$ 17 trilhões. A interceptação de transações em tempo real pode causar perdas financeiras significativas tanto para pessoas físicas quanto jurídicas. A combinação de linguagem moderna (Rust), múltiplas técnicas de evasão e foco em PIX posiciona o VENON como um dos trojans bancários mais sofisticados já produzidos pelo ecossistema de cibercrime brasileiro, sinalizando uma tendência de modernização que provavelmente será seguida por outros atores da região. --- ## Notas Relacionadas - [[venon-banking-campaign-2026]] - perfil do malware - [[venon-banking-campaign-2026]] - campanha ativa - [[s0531-grandoreiro]] - trojan bancário brasileiro de geração anterior (Delphi) - [[brasdex]] - trojan brasileiro com foco em PIX - [[gopix]] - trojan brasileiro com foco em PIX - [[pixpiraté]] - trojan brasileiro focado em mobile banking - [[t1566-phishing|T1566 - Phishing]] - vetor de entrega principal - [[financial]] - setor alvo