Вредоносное ПО CrystalX RAT крадет данные и подшучивает над зараженными жертвами

Исследователи безопасности выявили новое вредоносное ПО как услугу под названием CrystalX RAT. Программа сочетает в себе функции удаленного доступа, кражи информации, перехвата нажатия клавиш и подмены адреса криптовалюты. Эксперты «Лаборатории Касперского» обнаружили инструмент, который продвигается с января 2026 года через специальные каналы в Telegram и демонстрационные видеоролики на YouTube.

CrystalX RAT работает по многоуровневой модели подписки, которая позволяет любому желающему приобрести доступ за определенную плату. Платформа включает в себя панель управления с простым интерфейсом и автоматический конструктор исполняемых файлов. Эта функция позволяет легко настроить вредоносное ПО для различных операций.

• Геоблокировка для ограничения целей по регионам
• Механизмы защиты от отладки и обнаружение виртуальных машин
• Проверка прокси и методов, затрудняющих анализ

Эти варианты защиты от расследований расширяют привлекательность для операторов с разным уровнем технических навыков.

Удаленный доступ и функции шпионажа

Модуль удаленного управления позволяет выполнять команды в интерпретаторе строк Windows, загружать и скачивать файлы, а также просматривать систему зараженной машины. Операторы также могут просматривать экран в режиме реального времени благодаря интеграции VNC.

Захват аудио и видео происходит через микрофон и камеру устройства. Во время общего доступа на панели имеются кнопки для блокировки пользовательского ввода, что предотвращает прерывание действий злоумышленника. Кейлоггер записывает все нажатия клавиш и отправляет данные в режиме реального времени на командный сервер.

Инфокрад CrystalX RAT ориентирован на браузеры на базе Chromium, включая версии Chrome, а также Яндекс и Opera. Коллекция распространяется на такие приложения, как Steam, Discord и Telegram. В настоящее время модуль кражи учетных данных временно отключен в ожидании будущих обновлений.

Механизм Clipper и защита данных при транспортировке

Компонент клиппера отслеживает шаблоны адресов криптовалютных кошельков в буфере обмена. Когда он обнаруживает совпадение, он автоматически заменяет содержимое данными, контролируемыми злоумышленником. Этот обмен происходит без того, чтобы жертва заметила изменение в передаче.

Полезные данные, сгенерированные сборщиком, сжимаются с помощью zlib и шифруются с помощью алгоритма ChaCha20. Для связи с сервером управления и контроля используется протокол WebSocket, который поддерживает постоянное и двунаправленное соединение. В момент первоначального подключения вредоносная программа передает данные о зараженной системе для отслеживания.

Особенности ПО для розыгрышей, которые отличают CrystalX RAT

Обширный набор функций разрушения представляет собой главное отличие CrystalX RAT от других аналогичных вредоносных программ, доступных на рынке. Операторы могут менять обои рабочего стола и менять ориентацию экрана. Другие действия включают переназначение кнопок мыши, временное отключение клавиатуры и монитора или принудительное выключение компьютера.

Панель позволяет отправлять сообщения, которые открывают интерактивное диалоговое окно, позволяющее напрямую общаться между злоумышленником и жертвой. Кроме того, вы можете скрыть значки на рабочем столе, панель задач, диспетчер задач и командную строку. Курсором мыши также можно управлять удаленно.

Leia Tambem

Samsung выпускает новое обновление системы с новыми функциями для пользователей Galaxy Watch 4

Значительная скидка на Galaxy S25 Plus снижает стоимость в интернет-магазине до уровня ниже 4500 реалов.

Слух предполагает, что Nintendo готовит специальное издание Switch 2 с ремейком Ocarina of Time

Эти функции-шутки служат как для привлечения менее опытных покупателей, так и для отвлечения пользователя, пока другие модули работают в фоновом режиме. Сочетание троллинга и кражи данных создает универсальный инструмент для различных профилей киберпреступников.

Сходства с предыдущими вредоносными программами и ребрендинг

Аналитики отметили большое сходство между CrystalX RAT и WebRAT, также известным как Salat Stealer. Оба имеют одинаковый дизайн панели управления, код, разработанный на языке Go, и автоматизированную систему продаж с использованием ботов. После критики по поводу копии ответственные лица внесли изменения в внешний вид и переименовали инструмент.

Акция перешла на новый канал Telegram, который включает в себя раздачу ключей доступа и опросы для привлечения общественности. В то же время на специальном канале YouTube публикуются видеоролики, демонстрирующие работу функций. Эта стратегия расширяет охват за пределы традиционных подпольных форумных кругов.

Текущее распространение и охват вредоносного ПО

На сегодняшний день выявленные попытки заражения в основном сосредоточены в России. Однако модель «вредоносное ПО как услуга» не накладывает региональных ограничений, что позволяет CrystalX RAT ориентироваться на пользователей в любой стране. Исследователи пока не указали точный вектор заражения, используемый для распространения исполняемого файла.

Отсутствие точной информации о первоначальном способе доставки затрудняет немедленную разработку конкретных профилактических мер. Пользователи должны поддерживать операционные системы и приложения в актуальном состоянии, а также использовать надежные решения безопасности, которые обнаруживают подозрительное поведение при удаленном доступе и несанкционированные модификации.

Технические подробности защиты анализа

Автоматический конструктор включает в себя расширенные возможности антианализа, которые повышают ставки для исследователей безопасности. К ним относятся скрытые исправления, которые обходят функции защиты системы, и петли антиподключения, предотвращающие отладку. Эти технические уровни защищают вредоносное ПО во время распространения и первоначального выполнения.

Протокол постоянной связи обеспечивает непрерывную отправку украденных данных без необходимости частых повторных подключений. Такая архитектура способствует стабильной работе даже в средах с переменным подключением.

CrystalX RAT предлагает операторам полный набор инструментов: от полного управления машиной до бесшумного извлечения конфиденциальной информации. Включение визуальных и интерактивных функций разрушения добавляет необычный уровень в текущую экосистему коммерческого вредоносного ПО.