sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
quarta-feira, julho 1, 2026
Top Posts
Festival de Artes Cênicas Preta do Maranhão tem...
Rio: nova enfermaria abre 90 vagas mensais no...
Com dois gols de Mbappé, França despacha Suécia...
AWS cria unidade de IA com aporte de...
Inquérito sobre avião da Voepass deve ser concluído...
Galaxy Z Fold 8: Samsung dá pistas e...
Geladeira Electrolux Inverter: as 5 melhores opções
Três mudanças acontecem quando o escritório passa a...
Marvel’s Spider-Man 2 e mais jogos da Steam...
João Fonseca reencontra Jesper de Jong na 2ª...
sampanews.com
Banner
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
sampanews.com

O que você está procurando?

Auto Cidades Cultura Economia Esporte Mundo Negócios

Recente

Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
1 de julho de 2026
Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
1 de julho de 2026
Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
1 de julho de 2026
AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
30 de junho de 2026
sampanews.com
  • Cidades
  • Mundo
  • Política
  • Negócios
  • Esporte
  • Saúde
  • Cultura
  • Tecnologia
  • Auto
Copyright 2026 - Todos os Direitos Reservados

Kaido RAT, o novo vírus bancário feito para roubar PIX de brasileiros

por SampaNews 30 de março de 2026
30 de março de 2026
28

Um novo malware chamado KAIDO RAT v2.2 foi identificado como uma ameaça direcionada ao setor bancário brasileiro. A investigação e denúncia foi realizada pelo pesquisador de segurança Clandestine (@akaclandestine).

O trojan de acesso remoto (RAT) é comercializado no modelo Malware-as-a-Service (MaaS). Ou seja, qualquer ator mal-intencionado pode alugar o acesso à ferramenta sem precisar desenvolvê-la. O KAIDO RAT conta com módulos exclusivos para 28 instituições financeiras do país, incluindo automação de fraude via PIX.

smart_display

Nossos vídeos em destaque

O que é um RAT

Um RAT é um tipo de malware que concede ao atacante controle remoto sobre o dispositivo infectado. No caso do KAIDO v2.2, esse controle é gerenciado por um painel web próprio, com dashboard em tempo real.

O KAIDO RAT v2.2 permite que atacantes assumam controle total do dispositivo infectado de forma remota, com painel web em tempo real e suporte a múltiplos operadores.

Ele também inclui shell remoto interativo, ferramenta que permite a um usuário acessar e executar comandos em um computador ou servidor através de uma rede. Além de gerenciador de arquivos e um “loot browser”, uma interface dedicada para navegar pelos dados roubados, como cookies, senhas e tokens.

O painel suporta múltiplos níveis de operadores, como superadmin, admin e operador. Este é um indicativo de uma operação estruturada com potencial para campanhas simultâneas por diferentes clientes.

Dez módulos para fugir da detecção

Antes de roubar qualquer dado, o KAIDO se mantém invisível. Para isso, o malware conta com dez mecanismos de evasão encadeados. Entre eles estão o ETW Patch, que desativa o rastreamento de eventos do Windows usado por soluções de segurança.

Microsoft Windows 11.jpg
O malware explora APIs nativas do Windows e se comunica diretamente com o kernel do sistema, contornando camadas de proteção do próprio sistema operacional.

Também inclui o AMSI Bypass, que contorna a interface antimalware nativa do sistema operacional sem modificar arquivos em disco, o que dificulta a detecção.

O uso de Direct Syscalls permite que o malware se comunique diretamente com o kernel do Windows sem passar pelas APIs padrão, onde a maioria dos EDRs (Endpoint Detection and Response) realiza o monitoramento.

Complementam o arsenal:

  • Sleep Obfuscation, que ofusca o malware na memória durante períodos de inatividade;
  • Stack Spoofing, que falsifica a pilha de chamadas para dificultar análise forense;
  • PPID Spoofing, que faz o processo malicioso parecer filho de um processo legítimo do sistema;
  • Anti-VM com 19 verificações específicas para detectar sandboxes e ambientes de análise, além de interromper a execução nesses contextos.

A combinação de todas essas técnicas forma uma cadeia de defesa multi-camadas para o KAIDO.

Onze plugins de roubo de dados

O módulo de coleta de dados abrange 23 navegadores para roubo de cookies e senhas, com bypass específico do ABE (Application-Bound Encryption) do Chrome. O ABE é uma proteção lançada pelo Google justamente para dificultar a extração de dados.

Tokens de Discord (com descriptografia AES-GCM), Telegram, Steam e Spotify também são alvos, assim como carteiras de criptomoedas, 13 extensões de navegador e clientes desktop, senhas de redes Wi-Fi em texto simples e cartões de crédito salvos.

tela-de-login-e-senha
Ao detectar o acesso a um dos 28 bancos mapeados, o malware projeta uma tela falsa em tela cheia com a identidade visual da instituição, capturando credenciais sem que a vítima perceba.

O malware também realiza varredura de rede via ARP e portas, útil para movimentação lateral em ambientes corporativos. Além disso,inclui um módulo para desativar soluções de antivírus e EDR instaladas na máquina.

Sete plugins feitos para o Brasil

O diferencial do KAIDO v2.2 em relação a stealers genéricos está em sete módulos desenvolvidos especificamente para o mercado financeiro brasileiro, cobrindo 28 bancos.

O mais crítico é o overlay em tela cheia. Ao detectar que o usuário está acessando um dos bancos mapeados, o malware projeta uma tela falsa com a identidade visual da instituição. São 19 temas disponíveis, para bancos diferentes.

pessoa-digitando-codigo-de-autenticacao-no-notebook
Mesmo tokens de autenticação de dois fatores não estão seguros: o KAIDO captura códigos digitados na interface fraudulenta e bloqueia o encaminhamento de SMS de verificação.

Então, ele captura tokens de 2FA e senhas digitados nessa interface fraudulenta. Mas a vítima acredita estar interagindo com o app legítimo.

O PIX Clipper monitora a área de transferência em tempo real e substitui automaticamente qualquer chave PIX copiada, seja CPF, CNPJ, e-mail, EVP ou chave Copia-e-Cola, pela chave do fraudador. Isso sem nenhuma indicação visual para o usuário.

seguranca-cadeado-teclado
O KAIDO encadeia dez mecanismos de evasão — incluindo ETW Patch, AMSI Bypass e Direct Syscalls — formando uma cadeia capaz de neutralizar soluções antivírus e EDR.

O Total Screen Locker bloqueia simultaneamente teclado, mouse e Gerenciador de Tarefas, impedindo que a vítima interrompa uma operação em andamento. O Notification Silencer bloqueia o encaminhamento de SMS de autenticação, cortando alertas de transação durante o ataque.

pix-malware.jpg
O módulo PIX Clipper substitui silenciosamente qualquer chave PIX copiada pela do fraudador, sem nenhuma indicação visual — desviando transações em tempo real.

Um keylogger seletivo registra digitação exclusivamente dentro de janelas bancárias. E um módulo de captura de QR Code PIX registra códigos exibidos em tela.

O modelo MaaS como amplificador de risco

O fato de o KAIDO ser vendido como serviço já representa perigo por si só. A sofisticação técnica do golpe não está mais restrita a grupos com capacidade de desenvolvimento própria. Qualquer operador com acesso ao painel pode conduzir campanhas contra usuários de 28 bancos brasileiros sem escrever uma linha de código.

Clandestine recomenda que organizações do setor financeiro devem atualizar assinaturas comportamentais em soluções EDR/XDR, monitorar tráfego C2 não identificado e comportamento suspeito de overlay em aplicativos bancários, e reforçar treinamentos de conscientização contra engenharia social — principal vetor de entrega inicial desse tipo de ameaça.

Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.

autor de origem

Compartilhar 0 FacebookTwitterLinkedinWhatsapp
postagem anterior
Setor de fertilizantes brasileiro teme impacto da guerra, mas também do PIS/Cofins
próxima postagem
Com promessa de anistia, Caiado é anunciado como pré-candidato do PSD ao Planalto

Você também pode gostar

AWS cria unidade de IA com aporte de...

30 de junho de 2026

Galaxy Z Fold 8: Samsung dá pistas e...

30 de junho de 2026

Geladeira Electrolux Inverter: as 5 melhores opções

30 de junho de 2026

Três mudanças acontecem quando o escritório passa a...

30 de junho de 2026

POSTS MAIS RECENTES

  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos
  • Inquérito sobre avião da Voepass deve ser concluído em até 30 dias; famílias esperam indiciamentos

Siga-nos

  • Recente
  • Popular
  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas

    1 de julho de 2026
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes

    1 de julho de 2026
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas

    1 de julho de 2026
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • 1

    Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”

    22 de janeiro de 2026
  • 2

    IPVA mais caro do Brasil custa R$ 1 milhão; veja o carro mais caro de cada estado

    20 de janeiro de 2026
  • 3

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026
  • 4

    ⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?

    5 de abril de 2026

Postagens em destaque

Galaxy Z Fold 8: Samsung dá pistas e...

30 de junho de 2026

Geladeira Electrolux Inverter: as 5 melhores opções

30 de junho de 2026

Três mudanças acontecem quando o escritório passa a...

30 de junho de 2026

Marvel’s Spider-Man 2 e mais jogos da Steam...

30 de junho de 2026

João Fonseca reencontra Jesper de Jong na 2ª...

30 de junho de 2026

Leitura obrigatória

  • Festival de Artes Cênicas Preta do Maranhão tem inscrições abertas

    1 de julho de 2026
  • Rio: nova enfermaria abre 90 vagas mensais no Hospital Cardoso Fontes

    1 de julho de 2026
  • Com dois gols de Mbappé, França despacha Suécia e avança às oitavas

    1 de julho de 2026
  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • Inquérito sobre avião da Voepass deve ser concluído em até 30 dias; famílias esperam indiciamentos

    30 de junho de 2026

Newsletter

Posts relacionados

  • AWS cria unidade de IA com aporte de US$ 1 bi para acelerar projetos

    30 de junho de 2026
  • Galaxy Z Fold 8: Samsung dá pistas e praticamente confirma novo formato

    30 de junho de 2026
  • Geladeira Electrolux Inverter: as 5 melhores opções

    30 de junho de 2026
  • Três mudanças acontecem quando o escritório passa a ser visto como produto

    30 de junho de 2026
  • Marvel’s Spider-Man 2 e mais jogos da Steam com até 90% OFF na Nuuvem; confira

    30 de junho de 2026

Mais vistas da semana

Assessor ⁠da Casa Branca diz que novo chair do Fed deve ser “uma pessoa independente”
22 de janeiro de 2026
Altman pede desculpas por OpenAI não alertar polícia sobre suspeita de tiroteio
25 de abril de 2026
⁠Infantino tem razão? Será que o futebol não existiria em ‘150 países’ sem a FIFA?
5 de abril de 2026

Postagens Aleatórias

PSD, de Paes, aciona STF e pede eleição direta para mandato-tampão ao governo do Rio
27 de março de 2026
Bolsonaro tem boa evolução após cirurgia no ombro e começará reabilitação
2 de maio de 2026
Porta de ônibus quebra e passageiros têm que sair pela janela na Lix da Cunha
27 de janeiro de 2026

Categorias Populares

  • Tecnologia (5.741)
  • Política (3.650)
  • Mundo (3.258)
  • Campinas (1.991)
  • Negócios (1.271)
  • Economia (1.255)
  • Auto (1.073)
  • Bragança Paulista (1.039)
  • Esporte (741)
  • Saúde (482)

Notícias de São Paulo e do mundo, em tempo real. Cobertura completa de política, economia, mercado, cidades e assuntos que importam — com contexto e credibilidade.

Facebook Twitter Instagram Linkedin Youtube

Copyright © 2026 SampaNews. Todos os Direitos Reservados.

  • Anuncie
  • Contato
  • Política de Privacidade
sampanews.com
  • Home