Un nuevo troyano bancario para Windows, denominado VENON, ha aparecido en el ecosistema de cibercrimen latinoamericano con un enfoque técnico inusual: está desarrollado en Rust, a diferencia de la mayoría de familias regionales históricamente escritas en Delphi. El malware se centra en usuarios de Brasil y combina técnicas avanzadas de evasión con mecanismos clásicos de fraude bancario, lo que lo convierte en una amenaza relevante para entidades financieras y clientes finales.
VENON, un troyano bancario en Rust en el contexto latinoamericano
Investigadores de la empresa brasileña ZenoX identifican VENON como una posible evolución de familias ya conocidas en la región, como Grandoreiro, Mekotio y Coyote. Mantiene rasgos característicos de los troyanos bancarios latinoamericanos: overlays sobre páginas de banca online, monitorización de la ventana activa, interceptación de eventos en navegadores populares y secuestro de accesos directos (LNK hijacking) para redirigir al usuario a contenido fraudulento.
Por el momento, VENON no se ha vinculado de forma concluyente a un grupo criminal concreto. El análisis de una muestra temprana, fechada en enero de 2026, reveló en el binario una ruta de compilación con el nombre de usuario de Windows “byst4”. La estructura del código sugiere un desarrollador familiarizado con la tradición de troyanos bancarios latinoamericanos que habría recurrido a IA generativa para reescribir y ampliar funcionalidades en Rust. Informes de la industria de 2023–2024 ya destacan un incremento del uso de Rust en malware por su rendimiento, seguridad de memoria y mayor complejidad de análisis.
Cadena de infección en Windows y técnicas de evasión de VENON
VENON se distribuye mediante una cadena de compromiso por etapas basada en DLL side-loading. A las víctimas se les ofrece descargar un archivo ZIP que se presenta como “parche” o “actualización” —un patrón similar al de campañas tipo ClickFix ampliamente observadas en la región—. El archivo suele contener una aplicación legítima, una DLL maliciosa y un script de PowerShell encargado de forzar la carga de la DLL.
Antes de desplegar plenamente su carga útil, la DLL ejecuta al menos nueve técnicas de evasión. Entre ellas se encuentran las comprobaciones de entorno para detectar sandboxes o máquinas virtuales, el uso de indirect syscalls para eludir ganchos en modo usuario, el intento de desactivar Event Tracing for Windows (ETW) y la evasión de AMSI (Antimalware Scan Interface), responsable del análisis de scripts. Estas técnicas reducen significativamente la probabilidad de detección por soluciones antivirus tradicionales y por EDR básicos que dependen de firmas y patrones de comportamiento estándar.
Una vez superadas las defensas iniciales, VENON se conecta a una URL alojada en Google Cloud Storage para descargar su configuración, crea una tarea programada para asegurar persistencia en el sistema y establece un canal WebSocket con su servidor de mando y control (C2). El uso de infraestructuras en la nube de grandes proveedores complica el bloqueo del tráfico malicioso, ya que este se mezcla con conexiones legítimas a servicios ampliamente utilizados.
Ataques a bancos y criptoservicios: overlays y secuestro de accesos directos de Itaú
Con la configuración en memoria, VENON entra en su fase operativa. El troyano monitoriza los títulos de las ventanas y los dominios de las pestañas activas del navegador, activándose únicamente cuando detecta aplicaciones o sitios pertenecientes a una lista de 33 instituciones financieras y servicios de activos digitales. Entre los objetivos se incluyen bancos tradicionales, plataformas de pago y servicios relacionados con criptomonedas.
Al identificar una aplicación o sitio en su lista de objetivos, VENON muestra un overlay fraudulento: una ventana o formulario web que imita fielmente la interfaz legítima. La víctima introduce en esa pantalla sus credenciales, códigos de autenticación de dos factores (2FA) u otros tokens de un solo uso, que son exfiltrados en tiempo real hacia la infraestructura C2 para su uso inmediato en operaciones de fraude.
Un componente especialmente relevante es el secuestro de accesos directos (shortcut hijacking) dirigido al software del banco Itaú. El análisis de la DLL revela dos bloques de VBScript encargados de sustituir accesos directos legítimos del sistema por variantes manipuladas. Así, cuando el usuario cree abrir el cliente oficial de Itaú, en realidad es redirigido a una página o binario controlado por los atacantes. El propio malware incorpora un script de desinstalación capaz de restaurar los accesos directos originales y eliminar rastros, lo que dificulta el análisis forense posterior.
WhatsApp Web como vector de ataque: gusano SORVEPOTEL y troyanos bancarios
La aparición de VENON coincide con campañas activas orientadas a usuarios brasileños que explotan el papel central de WhatsApp como canal de comunicación. Investigadores han documentado la propagación del gusano SORVEPOTEL a través de WhatsApp Web en equipos de escritorio. Los atacantes secuestran sesiones ya autenticadas y envían mensajes maliciosos reutilizando conversaciones legítimas, lo que aumenta de forma considerable la probabilidad de que el receptor confíe en el contenido y descargue el archivo o pulse en el enlace.
Estas cadenas de infección suelen culminar en la instalación de conocidos troyanos bancarios como Maverick, Casbaneiro o Astaroth. Según la empresa Blackpoint Cyber, un único mensaje enviado desde una sesión comprometida de SORVEPOTEL puede ser suficiente para iniciar una cadena multietapa que termina con la ejecución de un implante Astaroth operando completamente en memoria (enfoque fileless). La combinación de herramientas locales de automatización, controladores de navegador poco supervisados y entornos de ejecución donde el usuario puede escribir libremente crea una superficie de ataque “excepcionalmente permisiva” para el gusano y sus cargas finales.
Tendencias del fraude bancario y medidas de protección recomendadas
El caso VENON ilustra varias tendencias clave en el malware financiero moderno: adopción de lenguajes de bajo nivel modernos como Rust, uso de IA generativa para acelerar el desarrollo de código malicioso, abuso sistemático de infraestructura en la nube y explotación de mecanismos de mensajería masiva como WhatsApp Web. Para las entidades financieras, esto refuerza la necesidad de complementar el análisis basado en firmas con capacidades de detección de comportamiento y visibilidad avanzada de red.
Entre las medidas prácticas que se recomiendan para organizaciones y usuarios en Brasil y otros países se incluyen: evitar la descarga de “parches” o “actualizaciones” desde enlaces recibidos por mensajería o correo, incluso si proceden de contactos conocidos; restringir y auditar el uso de PowerShell y otros intérpretes de scripts en estaciones de trabajo; desplegar soluciones EDR/XDR capaces de identificar intentos de desactivar ETW y AMSI, así como accesos anómalos a servicios de almacenamiento en la nube; separar estrictamente las cuentas personales y corporativas en WhatsApp Web y cerrar periódicamente las sesiones no utilizadas; habilitar autenticación multifactor con preferencia por tokens físicos frente a códigos de SMS o aplicaciones; y ofrecer formación recurrente sobre reconocimiento de phishing y técnicas de ingeniería social orientadas a fraude financiero.
La evolución de VENON y el uso paralelo de campañas basadas en WhatsApp confirman que los troyanos bancarios continúan adaptándose a las defensas y a los hábitos de los usuarios, aprovechando canales percibidos como legítimos —aplicaciones oficiales, servicios en la nube o mensajería cotidiana— para maximizar el impacto. Revisar de forma periódica las políticas de seguridad, invertir en soluciones de detección basadas en comportamiento y reforzar la educación en ciberseguridad de empleados y clientes son pasos esenciales para reducir el riesgo de fraude y proteger las credenciales bancarias en un entorno cada vez más hostil.
