KAIDO RAT v3.0深度分析：巴西金融木马

导语：当你以为银行木马还在用键盘记录和屏幕截图这种老套路时，KAIDO RAT v3.0已经进化成了一个模块化平台——实时劫持PIX转账、伪造QR码、锁定用户设备、收割AI平台凭据。这不是升级，这是物种跨越。

一、技术架构

1.1 技术底座

KAIDO RAT v3.0基于.NET 9构建，采用插件化架构：

Headless服务器：基于.NET 9的C2控制端
“Lain”管理面板：包含仪表盘、客户端列表、远程Shell、文件管理器
HVNC：支持GPU捕获的隐形VNC
远程桌面+摄像头直播：完整的远程控制能力
内置生成器+加密器：KaidoKrypter，支持FUD（完全无法检测）

交付方式：LNK踩踏、ClickFix社会工程、HTML走私

1.2 插件规模

超过60个功能插件，分为以下模块：

逃避模块（10个）
巴西银行专属套件（8个）
窃密器（18个功能）
侦察模块（7个）
权限维持+后渗透（9个）
AI目标收割（5个）

二、巴西银行专属攻击套件（最关键的部分）

这是v3.0最危险的模块，直接针对巴西独特的PIX即时支付系统：

2.1 PIX劫持家族

PIX Clipper（剪贴板劫持）：

监控剪贴板内容
支持CPF、CNPJ、邮箱、EVP等格式识别
复制粘贴时自动替换为攻击者账户

EMV QR码投毒器：

实时重写QR码内容
重新计算CRC16校验和
受害者扫描QR码时完全无感知

PIX Ghost（UI自动化劫持）：

使用Windows UI自动化技术
不依赖剪贴板，直接操作UI
更难被检测

2.2 银行覆盖层

实时银行检测：覆盖28家巴西主流银行
全屏覆盖：19种银行主题的伪造登录窗口
选择性键盘记录：仅在银行窗口激活

2.3 设备锁

屏幕锁：锁定键盘、鼠标和任务管理器，强制用户支付赎金。

三、高级逃避技术（10个模块）

3.1 ETW补丁

通过补丁5个ETW函数+无补丁AMSI绕过（VEH）实现双层防护，彻底阻断安全日志。

3.2 直接系统调用

Hell’s Gate + 间接调用，绕过用户态Hook，直接进入内核。

3.3 睡眠混淆

XOR加密 + PAGE_NOACCESS属性，让静态扫描和动态分析同时失效。

3.4 堆栈欺骗

伪造调用栈，对抗基于栈分析的EDR行为检测。

3.5 其他逃避技术

线程池执行
回调执行（6种方法）
PPID欺骗
API哈希
反虚拟机（19项检测）

四、窃密器功能（18个）

这是目前最全的窃密功能列表：

浏览器相关：

23款浏览器的Cookie
密码存储
令牌（Discord、Telegram、Steam、Spotify）
Session（支持WAL锁绕过）

凭据和会话：

NTLM哈希
内存中LSASS转储
SSH/RDP/云平台访问凭据

加密货币：

13种浏览器扩展钱包
MetaMask钱包

证书和银行：

ICP-Brasil A1证书（含私钥）
12家银行的Open Banking访问

五、AI凭据收割模块（新增重点）

v3.0新增的AI收割模块标志着攻击者的关注点已经转向AI开发者：

5.1 目标平台

专门针对以下平台的凭据窃取：

Anthropic（Claude等）
OpenAI（ChatGPT API）
Gemini（谷歌AI）
xAI
Groq

5.2 植入方式

通过Claude CLI C2（Discord/Telegram通道）
Claude Desktop的MCP劫持
Git Hook植入
Jupyter IPython启动钩子

5.3 攻击意图分析

窃取AI API密钥可用于：

模型滥用（生成恶意内容）
算力盗用（大模型推理成本极高）
供应链攻击（污染AI训练数据或输出）

六、侦察模块（7个）

网络映射器
VPN检测器
文档雷达（扫描敏感文件）
表单幽灵（CDP劫持）
数据库转储（SQL Server + SQLite）
证书存储枚举
加密货币内存引流器

七、后渗透模块（9个）

EDR Killer v2.0：无PowerShell/cmd依赖
UAC绕过（3种方法）
LPE漏洞：miniPlasma + CVE-2026-40369
Kerberoasting + AS-REP Roasting
COM劫持持久化
进程挖空

八、与同类木马对比

维度	KAIDO RAT v3.0	VENON Trojan	Coyote
开发语言	.NET 9	Rust	—
目标机构数	—	33家巴西金融机构	数十家巴西银行
特殊模块	PIX劫持、QR码重写、AI收割	AMSI/ETW绕过	WhatsApp Web感染
逃避技术	ETW补丁、直接调用、堆栈欺骗、反VM	AMSI/ETW绕过	—