{"id":239,"date":"2026-03-12T20:51:39","date_gmt":"2026-03-12T20:51:39","guid":{"rendered":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/el-malware-venon-basado-en-rust-se-dirige-a-33-bancos-brasilenos-con-superposiciones-de-robo-de-credenciales-cyberdefensa-mx\/"},"modified":"2026-03-12T20:51:39","modified_gmt":"2026-03-12T20:51:39","slug":"el-malware-venon-basado-en-rust-se-dirige-a-33-bancos-brasilenos-con-superposiciones-de-robo-de-credenciales-cyberdefensa-mx","status":"publish","type":"post","link":"https:\/\/cybercolombia.co\/index.php\/2026\/03\/12\/el-malware-venon-basado-en-rust-se-dirige-a-33-bancos-brasilenos-con-superposiciones-de-robo-de-credenciales-cyberdefensa-mx\/","title":{"rendered":"El malware VENON basado en Rust se dirige a 33 bancos brasile\u00f1os con superposiciones de robo de credenciales \u2013 CYBERDEFENSA.MX"},"content":{"rendered":"
\n

Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasile\u00f1os que est\u00e1 escrito en Rust, lo que marca una desviaci\u00f3n significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano.<\/p>\n

El malware, que est\u00e1 dise\u00f1ado para infectar sistemas Windows y fue descubierto por primera vez el mes pasado, lleva el nombre en c\u00f3digo VENENO<\/strong> por la empresa brasile\u00f1a de ciberseguridad ZenoX.<\/p>\n

Lo que hace que VENON sea notable es que comparte comportamientos que son consistentes con los troyanos bancarios establecidos que apuntan a la regi\u00f3n, como Grandoreiro, Mekotio y Coyote, espec\u00edficamente cuando se trata de caracter\u00edsticas como l\u00f3gica de superposici\u00f3n bancaria, monitoreo activo de ventanas y un mecanismo de secuestro de acceso directo (LNK).<\/p>\n

El malware no se ha atribuido a ning\u00fan grupo o campa\u00f1a documentado previamente. Sin embargo, se descubri\u00f3 que una versi\u00f3n anterior del artefacto, que data de enero de 2026, expone rutas completas del entorno de desarrollo del autor del malware. Las rutas hacen referencia repetidamente a un nombre de usuario de m\u00e1quina Windows \u00abbyst4\u00bb (por ejemplo, \u00abC:\\Users\\byst4\\\u2026\u00bb).<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

\u00abLa estructura del c\u00f3digo de Rust presenta patrones que sugieren un desarrollador familiarizado con las capacidades de los troyanos bancarios existentes en Am\u00e9rica Latina, pero que utiliz\u00f3 IA generativa para reescribir y expandir estas funcionalidades en Rust, un lenguaje que requiere una experiencia t\u00e9cnica significativa para usarlo con el nivel de sofisticaci\u00f3n observado\u00bb, ZenoX dicho<\/a>.<\/p>\n

VENON se distribuye mediante una sofisticada cadena de infecci\u00f3n que utiliza la carga lateral de DLL para iniciar una DLL maliciosa. Se sospecha que la campa\u00f1a aprovecha estrategias de ingenier\u00eda social como ClickFix para enga\u00f1ar a los usuarios para que descarguen un archivo ZIP que contiene las cargas \u00fatiles mediante un script de PowerShell.<\/p>\n

Una vez que se ejecuta la DLL, realiza nueve t\u00e9cnicas de evasi\u00f3n, incluidas comprobaciones anti-sandbox, llamadas al sistema indirectas, omisi\u00f3n de ETW y omisi\u00f3n de AMSI, antes de iniciar cualquier acci\u00f3n maliciosa. Tambi\u00e9n accede a una URL de Google Cloud Storage para recuperar una configuraci\u00f3n, instalar una tarea programada y establecer una conexi\u00f3n WebSocket con el servidor de comando y control (C2).<\/p>\n

\"\"<\/a><\/div>\n

Tambi\u00e9n se extraen de la DLL dos bloques de Visual Basic Script que implementan un mecanismo de secuestro de accesos directos dirigido exclusivamente a la aplicaci\u00f3n bancaria Ita\u00fa. Los componentes funcionan reemplazando los accesos directos leg\u00edtimos del sistema con versiones manipuladas que redirigen a la v\u00edctima a una p\u00e1gina web bajo el control del actor de la amenaza.<\/p>\n

El ataque tambi\u00e9n admite un paso de desinstalaci\u00f3n para deshacer las modificaciones, lo que sugiere que el operador puede controlar remotamente la operaci\u00f3n para restaurar los accesos directos a lo que eran originalmente para cubrir las pistas.<\/p>\n

En total, el malware bancario est\u00e1 equipado para apuntar a 33 instituciones financieras y plataformas de activos digitales al monitorear el t\u00edtulo de la ventana y el dominio activo del navegador, y entra en acci\u00f3n solo cuando cualquiera de las aplicaciones o sitios web objetivo se abre para facilitar el robo de credenciales al ofrecer superposiciones falsas.<\/p>\n

\n
\"Ciberseguridad\"<\/a><\/div>\n<\/div>\n

La divulgaci\u00f3n se produce en medio de campa\u00f1as en las que actores de amenazas est\u00e1n explotando la ubicuidad de WhatsApp en Brasil para distribuir un gusano llamado SORVEPOTEL a trav\u00e9s de la versi\u00f3n web de escritorio de la plataforma de mensajer\u00eda. El ataque se basa en el abuso de chats previamente autenticados para entregar se\u00f1uelos maliciosos directamente a las v\u00edctimas, lo que en \u00faltima instancia resulta en la implementaci\u00f3n de malware bancario como Maverick, Casbaneiro o Astaroth.<\/p>\n

\u00abUn solo mensaje de WhatsApp entregado a trav\u00e9s de una sesi\u00f3n de SORVEPOTEL secuestrada fue suficiente para atraer a la v\u00edctima a una cadena de varias etapas que finalmente result\u00f3 en que un implante de Astaroth se ejecutara completamente en la memoria\u00bb, Blackpoint Cyber dicho<\/a>.<\/p>\n

\u00abLa combinaci\u00f3n de herramientas de automatizaci\u00f3n local, controladores de navegador no supervisados \u200b\u200by tiempos de ejecuci\u00f3n modificables por el usuario crearon un entorno inusualmente permisivo, permitiendo que tanto el gusano como la carga \u00fatil final se establecieran con una fricci\u00f3n m\u00ednima\u00bb.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Investigadores de ciberseguridad han revelado detalles de un nuevo malware bancario dirigido a usuarios brasile\u00f1os que est\u00e1 escrito en Rust, lo que marca una desviaci\u00f3n significativa de otras familias de malware conocidas basadas en Delphi asociadas con el ecosistema de cibercrimen latinoamericano. El malware, que est\u00e1 dise\u00f1ado para infectar sistemas Windows y fue descubierto por […]<\/p>\n","protected":false},"author":1,"featured_media":108,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[25,5],"tags":[834,210,835,31,469,24,833,60,47,832,836,831],"class_list":["post-239","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias","category-trending","tag-bancos","tag-basado","tag-brasilenos","tag-con","tag-credenciales","tag-cyberdefensa-mx","tag-dirige","tag-malware","tag-robo","tag-rust","tag-superposiciones","tag-venon"],"_links":{"self":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/239","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/comments?post=239"}],"version-history":[{"count":0,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/posts\/239\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media\/108"}],"wp:attachment":[{"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/media?parent=239"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/categories?post=239"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cybercolombia.co\/index.php\/wp-json\/wp\/v2\/tags?post=239"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}