Um novo malware chamado KAIDO RAT v2.2 foi identificado como uma ameaça direcionada ao setor bancário brasileiro. A investigação e denúncia foi realizada pelo pesquisador de segurança Clandestine (@akaclandestine).
O trojan de acesso remoto (RAT) é comercializado no modelo Malware-as-a-Service (MaaS). Ou seja, qualquer ator mal-intencionado pode alugar o acesso à ferramenta sem precisar desenvolvê-la. O KAIDO RAT conta com módulos exclusivos para 28 instituições financeiras do país, incluindo automação de fraude via PIX.
smart_display
Nossos vídeos em destaque
O que é um RAT
Um RAT é um tipo de malware que concede ao atacante controle remoto sobre o dispositivo infectado. No caso do KAIDO v2.2, esse controle é gerenciado por um painel web próprio, com dashboard em tempo real.
Ele também inclui shell remoto interativo, ferramenta que permite a um usuário acessar e executar comandos em um computador ou servidor através de uma rede. Além de gerenciador de arquivos e um “loot browser”, uma interface dedicada para navegar pelos dados roubados, como cookies, senhas e tokens.
O painel suporta múltiplos níveis de operadores, como superadmin, admin e operador. Este é um indicativo de uma operação estruturada com potencial para campanhas simultâneas por diferentes clientes.
Dez módulos para fugir da detecção
Antes de roubar qualquer dado, o KAIDO se mantém invisível. Para isso, o malware conta com dez mecanismos de evasão encadeados. Entre eles estão o ETW Patch, que desativa o rastreamento de eventos do Windows usado por soluções de segurança.
)
Também inclui o AMSI Bypass, que contorna a interface antimalware nativa do sistema operacional sem modificar arquivos em disco, o que dificulta a detecção.
O uso de Direct Syscalls permite que o malware se comunique diretamente com o kernel do Windows sem passar pelas APIs padrão, onde a maioria dos EDRs (Endpoint Detection and Response) realiza o monitoramento.
Complementam o arsenal:
- Sleep Obfuscation, que ofusca o malware na memória durante períodos de inatividade;
- Stack Spoofing, que falsifica a pilha de chamadas para dificultar análise forense;
- PPID Spoofing, que faz o processo malicioso parecer filho de um processo legítimo do sistema;
- Anti-VM com 19 verificações específicas para detectar sandboxes e ambientes de análise, além de interromper a execução nesses contextos.
A combinação de todas essas técnicas forma uma cadeia de defesa multi-camadas para o KAIDO.
Onze plugins de roubo de dados
O módulo de coleta de dados abrange 23 navegadores para roubo de cookies e senhas, com bypass específico do ABE (Application-Bound Encryption) do Chrome. O ABE é uma proteção lançada pelo Google justamente para dificultar a extração de dados.
Tokens de Discord (com descriptografia AES-GCM), Telegram, Steam e Spotify também são alvos, assim como carteiras de criptomoedas, 13 extensões de navegador e clientes desktop, senhas de redes Wi-Fi em texto simples e cartões de crédito salvos.
)
O malware também realiza varredura de rede via ARP e portas, útil para movimentação lateral em ambientes corporativos. Além disso,inclui um módulo para desativar soluções de antivírus e EDR instaladas na máquina.
Sete plugins feitos para o Brasil
O diferencial do KAIDO v2.2 em relação a stealers genéricos está em sete módulos desenvolvidos especificamente para o mercado financeiro brasileiro, cobrindo 28 bancos.
O mais crítico é o overlay em tela cheia. Ao detectar que o usuário está acessando um dos bancos mapeados, o malware projeta uma tela falsa com a identidade visual da instituição. São 19 temas disponíveis, para bancos diferentes.
)
Então, ele captura tokens de 2FA e senhas digitados nessa interface fraudulenta. Mas a vítima acredita estar interagindo com o app legítimo.
O PIX Clipper monitora a área de transferência em tempo real e substitui automaticamente qualquer chave PIX copiada, seja CPF, CNPJ, e-mail, EVP ou chave Copia-e-Cola, pela chave do fraudador. Isso sem nenhuma indicação visual para o usuário.
)
O Total Screen Locker bloqueia simultaneamente teclado, mouse e Gerenciador de Tarefas, impedindo que a vítima interrompa uma operação em andamento. O Notification Silencer bloqueia o encaminhamento de SMS de autenticação, cortando alertas de transação durante o ataque.
)
Um keylogger seletivo registra digitação exclusivamente dentro de janelas bancárias. E um módulo de captura de QR Code PIX registra códigos exibidos em tela.
O modelo MaaS como amplificador de risco
O fato de o KAIDO ser vendido como serviço já representa perigo por si só. A sofisticação técnica do golpe não está mais restrita a grupos com capacidade de desenvolvimento própria. Qualquer operador com acesso ao painel pode conduzir campanhas contra usuários de 28 bancos brasileiros sem escrever uma linha de código.
Clandestine recomenda que organizações do setor financeiro devem atualizar assinaturas comportamentais em soluções EDR/XDR, monitorar tráfego C2 não identificado e comportamento suspeito de overlay em aplicativos bancários, e reforçar treinamentos de conscientização contra engenharia social — principal vetor de entrega inicial desse tipo de ameaça.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.