Сигнатурне шкідливе програмне забезпечення CrystalX RAT викрадає дані та жартує над зараженими жертвами

Дослідники безпеки виявили нову шкідливу програму як послугу під назвою CrystalX RAT. Програма поєднує в собі функції віддаленого доступу, крадіжки інформації, захоплення натискань клавіш і заміни адреси криптовалюти. Especialistas і Kaspersky виявили інструмент, який рекламується з січня 2026 року через спеціальні канали за номером Telegram і демонстраційні відео на YouTube.

CrystalX RAT працює за багаторівневою моделлю підписки, яка дозволяє кожному зацікавленому придбати доступ за певну плату. Платформа містить панель керування з простим інтерфейсом і автоматичний конструктор виконуваних файлів. Функція Esse дозволяє легко налаштувати зловмисне програмне забезпечення для різних операцій.

• Геоблокування для обмеження цілей за регіонами
• Механізми захисту від налагодження та виявлення віртуальної машини
• Перевірка проксі та технік, які перешкоджають аналізу

Ці варіанти захисту розслідування розширюють привабливість серед операторів із різним рівнем технічної кваліфікації.

Функції віддаленого доступу та шпигунства

Модуль дистанційного керування дозволяє виконувати команди в інтерпретаторі рядків Windows, завантажувати та завантажувати файли та переглядати систему інфікованої машини. Оператори також можуть переглядати екран у реальному часі завдяки інтеграції VNC.

Запис аудіо та відео відбувається через мікрофон і камеру пристрою. Durante спільного доступу, панель пропонує кнопки для блокування введення користувача, що запобігає перервам під час виконання дій зловмисником. Кейлоггер записує всі натискання клавіш і надсилає дані в режимі реального часу на командний сервер.

Інформаційний викрадач CrystalX RAT зосереджується на браузерах на основі Chromium, включаючи версії Chrome, а також Yandex і Opera. Збір поширюється на такі програми, як Steam, Discord і Telegram. Модуль крадіжки облікових даних наразі тимчасово вимкнено в очікуванні майбутніх оновлень.

Механізм кліпера та захист даних під час передачі

Компонент кліпера відстежує буфер обміну на предмет шаблонів адрес гаманця криптовалюти. Quando виявляє збіг, автоматично замінює вміст даними, контрольованими зловмисником. Обмін Essa відбувається без того, щоб жертва помітила зміни в передачі.

Корисне навантаження, створене конструктором, стискається за допомогою zlib і шифрується за допомогою алгоритму ChaCha20. Зв’язок із сервером команд і керування використовує протокол WebSocket, який підтримує постійне двонаправлене з’єднання. Під час початкового підключення зловмисне програмне забезпечення передає деталі зараженої системи для відстеження.

Функції Prankware, які відрізняють CrystalX RAT

Широкий набір функцій зриву є головною відмінністю CrystalX RAT від інших подібних шкідливих програм, доступних на ринку. Оператори можуть змінювати шпалери робочого столу та змінювати орієнтацію екрана. Outras дії включають перепризначення кнопок миші, тимчасове вимкнення клавіатури та монітора або примусове вимкнення комп’ютера.

Панель дозволяє надсилати повідомлення, які відкривають інтерактивне діалогове вікно, уможливлюючи прямий чат між зловмисником і жертвою. Além Крім того, можна приховати піктограми робочого столу, панелі завдань, Gerenciador і Prompt. Курсором миші також можна керувати дистанційно.

Leia Tambem

Colby Minifie підтверджує можливості Ешлі Барретт у п’ятому сезоні The Boys

Samsung випускає нове оновлення системи з новими функціями для користувачів Galaxy Watch 4

Цифровий роздрібний продаж знижує вартість смартфона Galaxy S25 5G завдяки банківським бонусам і обміну пристрою

Ці функції жартівливого програмного забезпечення служать як для залучення менш досвідчених покупців, так і для відволікання користувача, поки інші модулі працюють у фоновому режимі. Поєднання тролінгу та крадіжки даних створює універсальний інструмент для різних профілів кіберзлочинців.

Подібність до попередніх шкідливих програм і ребрендинг

Аналітики відзначили велику схожість між CrystalX RAT і WebRAT, також відомим як Salat Stealer. Ambos має однаковий дизайн інформаційної панелі, код, розроблений мовою Go, і автоматизовану систему продажу з використанням ботів. Após критики щодо копії, відповідальні внесли зміни до візуальної ідентичності та перейменували інструмент.

Акція перенесена на новий канал за номером Telegram, який включає роздачу ключів доступу та опитування для залучення громадськості. Paralelamente, спеціальний канал YouTube публікує відео, які демонструють особливості роботи. Стратегія Essa виходить за рамки традиційних підпільних форумних кіл.

Поточне поширення та охоплення шкідливого ПЗ

На сьогодні ідентифіковані спроби зараження зосереджені в основному на Rússia. Однак модель шкідливого програмного забезпечення як послуги не накладає регіональних обмежень, що дозволяє CrystalX RAT націлюватися на користувачів у будь-якій країні. Pesquisadores ще не описує точний вектор зараження, який використовується для розповсюдження виконуваного файлу.

Відсутність точної інформації про первинний спосіб пологів ускладнює негайну розробку конкретних профілактичних заходів. Usuários має підтримувати операційні системи та програми в актуальному стані, а також застосовувати надійні рішення безпеки, які виявляють підозрілу поведінку віддаленого доступу та неавторизовані модифікації.

Технічні деталі захисту аналізу

Автоматичний конструктор містить розширені параметри антианалізу, які підвищують ставки для дослідників безпеки. Entre Це стелс-патчі, які обходять функції захисту системи та цикли захисту від приєднання, які запобігають налагодженню. Essas Технічні рівні захищають зловмисне програмне забезпечення під час розповсюдження та початкового виконання.

Протокол постійного зв’язку забезпечує постійне надсилання вкрадених даних без необхідності частого повторного підключення. Архітектура Essa сприяє стабільній роботі навіть у середовищах зі змінним підключенням.

CrystalX RAT пропонує операторам повний набір інструментів, починаючи від повного керування машиною й закінчуючи тихим вилученням конфіденційної інформації. Включення візуальних та інтерактивних функцій зриву додає незвичний рівень до поточної комерційної екосистеми зловмисного програмного забезпечення.