venon-banking-campaign-2026

# VENON Banking Campaign 2026 > [!danger] Trojan Bancario Brasileiro em Rust - 33 Instituicoes Monitoradas > **VENON** e o primeiro trojan bancario brasileiro desenvolvido em Rust documentado públicamente, descoberto pela ZenoX em marco de 2026. Monitora **33 instituicoes financeiras** brasileiras com overlays de credenciais, executa **9 técnicas de evasão** em sequencia (AMSI bypass, ETW bypass, indirect syscalls) e usa WebSocket para C2 em tempo real. Ativo em 2026 - ameaça exclusivamente brasileira em evolução. ## Visão Geral **VENON** é um trojan bancário brasileiro desenvolvido em **Rust**, descoberto e analisado pela firma brasileira de cibersegurança ZenoX em março de 2026. A campanha representa uma evolução significativa no ecossistema de malware financeiro da América Latina: enquanto trojans como [[s0531-grandoreiro]], [[s0373-astaroth]] e Coyote são desenvolvidos predominantemente em Delphi - linguagem tradicional no LATAM cybercrime - , o VENON adota Rust, linguagem moderna associada a alta performance, complexidade de análise reversa e dificuldade de detecção. O malware monitora ativamente **33 instituições financeiras e plataformas de ativos digitais brasileiras**, ativando overlays de captura de credenciais quando o usuário acessa os sites ou aplicativos das instituições-alvo. Seu diferencial técnico são **nove técnicas de evasão** executadas em sequência antes das ações maliciosas - incluindo bypass de AMSI (Antimalware Scan Interface) e ETW (Event Tracing for Windows), dois dos principais mecanismos de segurança do Windows. **Motivação:** Fraude financeira - roubo de credenciais bancárias via overlay e monitoramento de jánelas ativas. ## Attack Flow ```mermaid flowchart TD A["🎮 Lure: Tutorial YouTube 'Driver NVIDIA para Perfect World' OU ClickFix - PowerShell via ZIP"] --> B["Executável legítimo aparente + DLL maliciosa"] B --> C["DLL Side-loading T1574 - Hijack Execution Flow"] C --> D["9 verificações de evasão Anti-sandbox · AMSI bypass ETW bypass · Indirect syscalls"] D --> E{Ambiente seguro?} E -->|Não| F["Encerra - evita análise"] E -->|Sim| F2["Configuração cifrada buscada no Google Cloud Storage"] F2 --> G["Tarefa agendada persistência via Windows Task Scheduler"] G --> H["WebSocket C2 comando e controle em tempo real"] H --> I["Scripts VBS - LNK Hijacking Substitui atalhos do Itaú e outros apps"] I --> J["Monitoramento de jánelas 33 instituições financeiras"] J --> K["Overlay de credenciais captura login/senha/token"] K --> L["Exfiltração via C2 WebSocket"] ``` ## TTPs Utilizadas (Mapa ATT&CK) | Tática | Técnica | ID | Observacao na Campanha | |--------|---------|-----|------------------------| | Initial Access | Phishing | [[t1566-phishing\|T1566]] | Lures via tutoriais YouTube e ClickFix social engineering | | Defense Evasion | Hijack Execution Flow | [[t1574-hijack-execution-flow\|T1574]] | DLL side-loading via executavel legitimo + DLL maliciosa | | Defense Evasion | Masquerading | [[t1036-masquerading\|T1036]] | Binario se apresenta como instalador de driver NVIDIA | | Defense Evasion | Impair Defenses | [[t1562-impair-defenses\|T1562]] | Bypass de AMSI, ETW e detecção via indirect syscalls | | Execution | User Execution | [[t1204-user-execution\|T1204]] | Vitima executa instalador malicioso voluntariamente | | Persistence | Scheduled Task/Job | [[t1053-scheduled-task-job\|T1053]] | Tarefa agendada criada pelo Task Scheduler do Windows | | Collection | Input Capture | [[t1056-input-capture\|T1056]] | Overlay de credenciais sobre 33 aplicativos bancarios | | Command & Control | Application Layer Protocol | [[t1071-application-layer-protocol\|T1071]] | C2 via WebSocket em tempo real | ## Técnicas de Evasão ```mermaid graph TB A["🛡️ 9 Verificacoes de Evasão"] --> B["Anti-sandbox Detecta VMware, VirtualBox Sandboxie"] A --> C["AMSI Bypass Desativa Antimalware Scan Interface Windows"] A --> D["ETW Bypass Desativa Event Tracing for Windows"] A --> E["Indirect Syscalls Chama syscalls direto evita ntdll monitorada"] A --> F["Anti-analysis Detecta Wireshark x64dbg, IDA Pro"] A --> G["Timing Checks Verifica velocidade de execução normal"] A --> H["Registry Fingerprint Presenca de artefatos de usuario real"] A --> I["Config Cifrada Sem IoCs estaticos no binario - cloud fetch"] A --> J["DLL Side-loading Carrega via DLL legítima do sistema"] ``` O VENON executa **nove verificacoes de evasão** antes de iniciar atividade maliciosa: | Técnica | Descrição | |---------|-----------| | Anti-sandbox | Verifica artefatos de ambiente virtualizado (VirtualBox, VMware, Sandboxie) | | AMSI bypass | Desativa Antimalware Scan Interface do Windows antes de execução de scripts | | ETW bypass | Desativa Event Tracing for Windows - impede logging de execução pelo sistema | | Indirect syscalls | Chama system calls diretamente sem passar por DLLs monitoradas (ex: ntdll.dll) | | Process anti-analysis | Detecta processos de análise (Wireshark, x64dbg, IDA Pro) e encerra | | Timing checks | Verifica se o sistema está executando em velocidade normal (anti-aceleração de sandbox) | | Registry fingerprint | Verifica presença de artefatos de instalações de usuário real | | DLL side-loading | Carrega payload via DLL legítima para evitar detecção por nome de processo | | Configuration encryption | Configuração cifrada em Google Cloud Storage - sem IoCs estáticos no binário | ## Atores Envolvidos O ator por trás do VENON é **não identificado públicamente**. Artefatos de compilação revelam o nome de usuário de desenvolvimento **"byst4"** em caminhos de debug - sugerindo um indivíduo ou grupo pequeno. Indicações do perfil do ator: - Familiaridade com o ecossistema bancário brasileiro - conhece os 33 bancos e aplicativos-alvo - Possível uso de inteligência artificial generativa para acelerar desenvolvimento em Rust (padrões de código sugerem assistência de IA) - Inspirado pelo ecossistema Delphi regional - adapta TTPs conhecidas para linguagem mais moderna - Nenhuma atribuição a grupos conhecidos como [[GOLD HERON]], [[s0531-grandoreiro|Grandoreiro Operators]] ou outros ## Impacto LATAM/Brasil O VENON é uma ameaça **exclusivamente brasileira** com impacto direto no sistema financeiro nacional: - **33 instituições financeiras** brasileiras monitoradas, incluindo grandes bancos como Itaú (com hijacking de atalho específico para o aplicativo) - Campanha ativa em 2026 - ameaça em evolução com C2 WebSocket em tempo real - Demonstra que o ecossistema de malware financeiro brasileiro está migrando para linguagens modernas (Rust), aumentando complexidade de análise e detecção - Lures via YouTube atingem usuários de games - público mais jovem com menor awareness de segurança - O ClickFix social engineering via PowerShell é vettor crescente no Brasil em 2026 - Bancos e fintechs brasileiras devem atualizar regras de detecção EDR para binários Rust com comportamento de overlay ## Indicadores Categorias de indicadores de comprometimento: - Binários compilados em Rust executando DLL side-loading - Tarefas agendadas do Windows criadas por instaladores de jogos ou drivers de GPU - Conexões WebSocket persistentes para domínios de curta duração - Scripts VBS modificando arquivos LNK em Desktop e Menu Iniciar - Tráfego HTTPS para Google Cloud Storage por aplicações não relacionadas a Google ## Mitigação - Não baixar "drivers de GPU" ou "ferramentas de otimização" de links em descrições de vídeos do YouTube - Desconfiar de instruções "ClickFix" - mensagens de erro que pedem execução de comandos PowerShell são vetores de engenharia social - Monitorar criação de tarefas agendadas por processos não autorizados via EDR - Verificar integridade de atalhos (.lnk) de aplicativos bancários no Desktop - Implementar detecção comportamental para overlays de jánela - padrão suspeito quando ocorre sobre aplicativos de banco **Malware:** [[venon]] **TTPs:** [[t1574-hijack-execution-flow|T1574 - Hijack Execution Flow]] · [[t1053-scheduled-task-job|T1053 - Scheduled Task/Job]] · [[t1562-impair-defenses|T1562 - Impair Defenses]] · [[t1036-masquerading|T1036 - Masquerading]] **Campanhas relacionadas:** [[grandoreiro-banking-campaign|Grandoreiro Banking Campaign]] · [[gopix-campaign|GoPix Campaign]] · [[Guildma Campaign]] **Setores:** [[financial]] · [[cryptocurrency|criptomoedas]] **Contexto:** [[sources|CERT.br]] · [[ZenoX]]