Kaido RAT, uma variante de trojan de acesso remoto recém-detectada na versão 2.2, foi criada sob o modelo Malware-as-a-Service e já circula com foco exclusivo em usuários de 28 bancos brasileiros. A ameaça combina overlays falsos, clipper de PIX e dez técnicas de evasão que anulam antivírus tradicionais e plataformas EDR, elevando o risco de fraudes instantâneas.
Como o golpe invade, se esconde e assume o controle
Após a infecção inicial — geralmente via engenharia social ou download de programas adulterados — o KAIDO RAT executa uma cadeia de dez mecanismos de camuflagem. Entre eles estão ETW Patch, que desativa o Event Tracing for Windows, AMSI Bypass, que burla a interface antimalware nativa, além de Direct Syscalls, capaz de falar direto com o kernel sem passar pelas APIs vigiadas pelos EDRs.
Esse arsenal se complementa com Sleep Obfuscation (pausas ofuscadas na memória), Stack e PPID Spoofing (para que o processo pareça legítimo) e 19 checagens anti-VM. O efeito prático é claro: soluções corporativas de segurança só percebem o ataque quando já é tarde demais.
Módulos dedicados ao mercado brasileiro e ao PIX
O diferencial do KAIDO RAT em relação a stealers genéricos está nos sete plugins desenhados para bancos nacionais:
- Overlay em tela cheia: identifica a instituição acessada e exibe uma interface falsa — há 19 temas prontos — capturando senhas e tokens 2FA.
- PIX Clipper: monitora a área de transferência e substitui qualquer chave (CPF, CNPJ, e-mail, EVP ou Copia-e-Cola) pela do fraudador, sem indicação visual.
- Total Screen Locker: bloqueia teclado, mouse e Gerenciador de Tarefas, impedindo a vítima de cancelar a operação.
- Notification Silencer: intercepta SMS de autenticação e oculta alertas de transações.
- Keylogger seletivo: grava apenas o que é digitado em janelas bancárias, reduzindo ruído e facilitando a filtragem de credenciais úteis.
- Captura de QR Code PIX: registra códigos exibidos na tela para uso fraudulento posterior.
No back-end, um painel web com níveis de acesso (superadmin, admin e operador) permite que qualquer cliente do serviço orquestre campanhas em tempo real, visualize dispositivos comprometidos e baixe dados como cookies, senhas, tokens de Discord, Telegram, Steam e carteiras de criptomoedas.
Por que o modelo MaaS amplia o risco para o usuário comum
Ao ser alugado “no atacado”, o KAIDO elimina a barreira técnica para cibercriminosos iniciantes. Basta pagar pelo acesso ao painel para disparar ataques personalizados, algo que especialistas, como detalha a Wired, temem como um dos motores de profissionalização do crime digital.
No contexto brasileiro, onde o PIX responde por mais de 8 bilhões de transações anuais, a combinação de clipper automático e sobreposição de tela multiplica o potencial de prejuízo. Empresas financeiras já foram orientadas a reforçar regras de detecção comportamental, monitorar tráfego C2 e treinar colaboradores para identificar emails e links suspeitos — porta de entrada favorita desse tipo de campanha.
Como se proteger agora
Para usuários finais, as recomendações continuam válidas, mas ganham urgência:
- Mantenha sistemas operacionais, navegadores e antivírus atualizados — especialmente módulos que analisam comportamento, não apenas assinaturas.
- Desconfie de aplicativos bancários que exijam login repetido ou exibam telas em resolução estranha; isso pode indicar overlay fraudulento.
- Antes de confirmar um PIX, verifique se a chave ou o valor foram alterados; colar de novo a chave ajuda a expor o clipper.
- Ative alertas de transação via aplicativo, push ou email; caso o Notification Silencer bloqueie SMS, outro canal pode denunciar a fraude.
Em resumo, o Kaido RAT leva o golpe bancário nacional a um novo patamar de industrialização, onde sofisticação técnica fica à venda no mercado paralelo. Para acompanhar outras análises de ameaças que podem afetar negócios e usuários, visite nossa editoria de análise de tecnologia.
Crédito da imagem: TecMundo Fonte: TecMundo
