Logo TecMundo
Segurança

VENON: malware brasileiro troca seu Pix na hora do pagamento

Malware VENON mira bancos e criptomoedas com tecnologia inédita

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

schedule10/03/2026, às 16:30

updateAtualizado em 10/03/2026, às 17:39

A ZenoX, empresa brasileira de cibersegurança, identificou um programa malicioso inédito capaz de interceptar transferências Pix em tempo real, desviar pagamentos de boletos bancários e roubar criptomoedas de carteiras digitais. 

O malware, batizado de VENON, foi descoberto em fevereiro de 2026 e representa uma mudança significativa no perfil das ameaças financeiras digitais no Brasil.

smart_display

Nossos vídeos em destaque

O que torna o VENON diferente

O VENON é classificado como um RAT bancário, sigla para Trojan de Acesso Remoto. Trata-se de um programa malicioso que, uma vez instalado no computador da vítima, permite ao criminoso controlar a máquina à distância.

O que diferencia o VENON de todos os outros malwares financeiros conhecidos na América Latina é a linguagem em que foi escrito. Todos os trojans bancários brasileiros e latino-americanos conhecidos até hoje foram desenvolvidos em Delphi, uma linguagem de programação de 1995 amplamente usada justamente por ser mais simples de desenvolver e mais fácil de analisar por especialistas em segurança.

Leia Mais
Domo de Ferro: cibercriminosos alegam ter desativado defesa aérea de Israel

O VENON foi escrito inteiramente em Rust, uma linguagem moderna criada pela Mozilla, que gera programas muito mais difíceis de desmontar e analisar. A ZenoX afirma que se trata do primeiro banker RAT brasileiro desenvolvido completamente em Rust já documentado.

Como a vítima é infectada

A infecção começa com engenharia social, uma técnica de manipulação psicológica usadas para enganar pessoas. A vítima recebe um e-mail falso, acessa uma página que imita um portal legítimo ou clica em um anúncio patrocinado malicioso. Em todos os casos, a execução do malware depende de uma ação voluntária da vítima.

O arquivo executado é um script batch, um tipo de arquivo de texto com uma lista de comandos automáticos para o Windows. Esse script verifica se está rodando com permissões de administrador e, se não estiver, abre aquela janela de confirmação do Windows pedindo autorização. Se a vítima clicar em "Sim", o script passa a ter controle total do sistema.

painel_venon (1).png
Painel Venon Mailer descoberto durante análise de infraestrutura. Imagem: ZenoX.

Em seguida, o script baixa da internet um arquivo compactado hospedado em um servidor da Amazon AWS, um serviço legítimo de armazenamento em nuvem. O uso de serviços legítimos e amplamente conhecidos dificulta o bloqueio por parte de firewalls corporativos e ferramentas de segurança.

Leia Mais
Chave de API do Google gera dívida de US$ 82 mil após ataque cibernético

Dentro desse arquivo estão dois programas. O primeiro é o NVIDIANotification.exe, um instalador genuíno e assinado digitalmente pela NVIDIA. O segundo é a libcef.dll, uma biblioteca de funções que o instalador da NVIDIA precisa para funcionar, mas que neste caso foi substituída por uma versão maliciosa.

Quando o Windows executa o instalador da NVIDIA, ele carrega automaticamente a versão maliciosa da biblioteca. Esse golpe é chamado de DLL Sideloading. O resultado é que, no Gerenciador de Tarefas, o processo aparece com o nome e a assinatura digital da NVIDIA, ou seja, com aparência completamente legítima.

Nove camadas para escapar de antivírus

Antes de fazer qualquer coisa maliciosa, o VENON executa nove técnicas de evasão em sequência, para se esconder de ferramentas de segurança.

O malware desabilita o AMSI, uma interface do Windows que permite que antivírus inspecionem scripts antes de executá-los. Também desabilita o ETW, um sistema de registro de eventos que ferramentas de monitoramento usam para acompanhar o que os programas estão fazendo.

Leia Mais
149 ataques em quatro dias: como a guerra contra o Irã se tornou também digital

A técnica mais sofisticada é o ntdll overwrite. Muitos antivírus instalam pequenos ganchos de monitoramento numa biblioteca fundamental do Windows chamada ntdll.dll. O VENON lê a versão original dessa biblioteca do disco e a substitui na memória, removendo todos esses ganchos.

O malware também se torna invisível para ferramentas de análise usadas por pesquisadores de segurança, modifica sua própria lista de permissões para negar acesso externo ao seu processo e configura suas janelas falsas para aparecerem como tela preta em capturas de tela.

O que acontece depois da instalação

Com as defesas contornadas, o malware busca o endereço do servidor dos criminosos. Esse servidor é chamado de C2, sigla para Comando e Controle. É de lá que partem as ordens para o malware nas máquinas infectadas.

O endereço do C2 não fica escrito diretamente no código do malware. O programa primeiro consulta um serviço público e legítimo, como o Google Cloud Storage, para obter esse endereço de forma cifrada. 

Leia Mais
FGV sofre vazamento de 1,52 TB em suposto ataque cibernético do grupo Dragonforce

A informação está protegida por três camadas de criptografia de última geração, incluindo algoritmos chamados de Argon2id e XChaCha20-Poly1305, considerados estado da arte, ou seja, o nível de maior qualidade, em segurança criptográfica.

Uma vez conectado ao servidor dos criminosos, o malware monitora continuamente quais janelas estão abertas no computador da vítima. 

O VENON tem uma lista de 33 alvos financeiros, incluindo Itaú, Santander, Caixa Econômica Federal, Banco do Brasil, Nubank, Banco Inter, BTG Pactual, Receita Federal, PicPay, Mercado Pago e exchanges de criptomoedas como Binance, Coinbase e Kraken. Também monitora carteiras digitais como MetaMask e Ledger Live.

Ao detectar qualquer um desses alvos, o criminoso é imediatamente notificado no painel de controle.

Leia Mais
Malware usa domínios gov.br legítimos para infectar vítimas

Como o dinheiro é desviado

O VENON usa três métodos principais para roubar dinheiro.

O primeiro é o Pix QR swap. Quando a vítima está prestes a escanear um QR code de Pix, o malware detecta o código na tela em tempo real e o substitui por um QR que aponta para a chave Pix do criminoso. A troca acontece antes que a vítima perceba qualquer diferença visual.

O segundo é o boleto swap. Quando a vítima copia a linha digitável de um boleto para colar no banco, o malware substitui silenciosamente aquela sequência de números pela linha de um boleto dos criminosos. 

O detalhe técnico é que o VENON recalcula automaticamente os dígitos verificadores do boleto falso, fazendo com que ele passe na validação do banco sem levantar suspeitas.

Leia Mais
F-39 Gripen: Conheça o caça que vai proteger Brasília
boleto_swap_venon.png
Painel de cadastro de boletos. Imagem: ZenoX.

O terceiro é o clipboard swap para criptomoedas. O clipboard é a área de transferência do computador, onde ficam os dados quando a vítima usa Copiar e Colar. Quando a vítima copia o endereço de uma carteira de criptomoeda para fazer uma transferência, o malware substitui esse endereço pelo da carteira do criminoso. 

O VENON valida criptograficamente o formato do endereço antes de trocá-lo, garantindo que a substituição não seja detectada por inconsistências no texto.

Além disso, o malware pode exibir telas falsas sobrepostas às páginas legítimas dos bancos para capturar senhas, tokens de autenticação e assinaturas eletrônicas digitadas pela vítima.

O painel de controle em português

Os pesquisadores da ZenoX acessaram o painel de controle do VENON durante a investigação. O painel, chamado de "Remote Administration System v3.0", é uma interface web inteiramente em português brasileiro, confirmando a origem nacional do operador.

Leia Mais
Vírus 'desperta' na Wikipédia e vandaliza milhares de páginas em 23 minutos

A partir do painel, o criminoso consegue ver em tempo real todas as vítimas conectadas, configurar as chaves Pix e contas bancárias para onde o dinheiro deve ser desviado e distribuir atualizações do malware para todos os computadores infectados ao mesmo tempo, sem precisar reinfectá-los.

A pista que expôs o desenvolvedor

Os pesquisadores encontraram uma pista sobre a identidade do desenvolvedor em uma versão anterior do malware. Quando um programa é compilado, ou seja, transformado de código legível por humanos em código executável pelo computador, o compilador muitas vezes inclui no arquivo final os caminhos das pastas do computador do desenvolvedor.

Nessa versão anterior, estava visível que o código havia sido compilado em C:\Users\byst4\.... Isso expôs o nome de usuário da máquina onde o malware foi criado. 

A ZenoX também localizou um repositório deletado no GitHub vinculado ao mesmo usuário, que continha um script de configuração de infraestrutura para servidores C2, com uma rota idêntica à usada pelo malware.

Leia Mais
Brasileiro desenvolve ferramenta para fiscalizar gastos de políticos e funcionários públicos

A versão mais recente do VENON não contém mais essas informações, indicando que o desenvolvedor percebeu o erro e o corrigiu.

O papel da inteligência artificial

A ZenoX levanta a hipótese de que o VENON pode ter sido desenvolvido com auxílio extensivo de IA generativa, as ferramentas de inteligência artificial que geram código automaticamente a partir de descrições em linguagem natural. Essa prática ficou conhecida como "vibe coding".

Os padrões observados sugerem que o desenvolvedor pode ter pedido para uma IA reescrever funcionalidades de trojans bancários já conhecidos, originalmente escritos em Delphi, usando a linguagem Rust.

Se confirmada, essa seria uma das primeiras evidências documentadas do uso de IA para o desenvolvimento de malware bancário na América Latina.

Leia Mais
OpenClaw é a nova IA do momento, mas pode oferecer riscos à privacidade

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

Avatar do(a) autor(a): Cecilia Ferraz
Cecilia Ferraz

Cecilia Ferraz é formada em Jornalismo pela Universidade Metodista de São Paulo. Repórter do TecMundo Security, especializada em cibersegurança, tecnologia e negócios.

forum

E você, o que tem a dizer?

local_mall

Ofertas TecMundo

Atualizado há 59 minutos
Headphone JBL Tune 520BT
35% off

Aproveite!

Headphone JBL Tune 520BT

R$ 195,00

Áudio amazon.com.brnew_releases
Smartphone Samsung Galaxy S24 Ultra, 256GB
51% off

Cupom TELEFONIA500

Smartphone Samsung Galaxy S24 Ultra, 256GB

R$ 4.899,10

Celulares amazon.com.brnew_releases
Fone de Ouvido Apple AirPods 4 com Estojo
36% off

Cupom 3DO3

Fone de Ouvido Apple AirPods 4 com Estojo

R$ 948,00

Áudio kabum.com.brnew_releases
Smartphone Motorola Edge 60 5G, 512GB
22% off

Aproveite!

Smartphone Motorola Edge 60 5G, 512GB

R$ 2.174,00

Celulares pontofrio.com.brnew_releases
Controle DualSense PlayStation 5
26% off

Imperdível!

Controle DualSense PlayStation 5

R$ 369,00

Gamer amazon.com.brnew_releases
Kindle, 16GB
14% off

Aproveite já!

Kindle, 16GB

R$ 559,00

Tablets amazon.com.brnew_releases
local_mall

Guia de Compras TecMundo

As melhores promoções e cupons para sua próxima compra!

Confira todas as ofertas
star

Continue por aqui

Imagem de Estadão
Estadão
Imagem de Lançamentos
Lançamentos
Imagem de Gadgets
Gadgets
Imagem de Cibersegurança
Cibersegurança
Imagem de Filmes e séries
Filmes e séries
Imagem de Mercado
Mercado
Imagem de Cupons
Cupons
Imagem de Internet
Internet
Imagem de Games
Games
Imagem de Apostas
Apostas
Imagem de Ciência
Ciência
Imagem de Software
Software
Imagem de IA
IA