क्रिस्टलएक्स आरएटी हस्ताक्षर मैलवेयर डेटा चुराता है और संक्रमित पीड़ितों पर मजाक करता है

सुरक्षा शोधकर्ताओं ने क्रिस्टलएक्स आरएटी नामक एक सेवा के रूप में एक नए मैलवेयर की पहचान की है। प्रोग्राम रिमोट एक्सेस, सूचना चोरी, कीस्ट्रोक कैप्चर और क्रिप्टोकरेंसी एड्रेस रिप्लेसमेंट के कार्यों को जोड़ता है। कैस्परस्की विशेषज्ञों ने टेलीग्राम पर समर्पित चैनलों और यूट्यूब पर प्रदर्शन वीडियो के माध्यम से जनवरी 2026 से प्रचारित टूल का पता लगाया।

क्रिस्टलएक्स आरएटी एक स्तरीय सदस्यता मॉडल के साथ काम करता है जो किसी भी इच्छुक व्यक्ति को शुल्क के लिए पहुंच खरीदने की अनुमति देता है। प्लेटफ़ॉर्म में एक सरल इंटरफ़ेस वाला एक नियंत्रण कक्ष और एक स्वचालित निष्पादन योग्य बिल्डर शामिल है। यह सुविधा विभिन्न ऑपरेशनों के लिए मैलवेयर को अनुकूलित करना आसान बनाती है।

• क्षेत्र के अनुसार लक्ष्यों को सीमित करने के लिए जियोब्लॉकिंग
• एंटी-डिबगिंग तंत्र और वर्चुअल मशीन का पता लगाना
• प्रॉक्सी और तकनीकों का सत्यापन जो विश्लेषण में बाधा डालते हैं

ये जांच सुरक्षा विकल्प तकनीकी कौशल के विभिन्न स्तरों वाले ऑपरेटरों के बीच अपील को व्यापक बनाते हैं।

रिमोट एक्सेस और जासूसी सुविधाएँ

रिमोट कंट्रोल मॉड्यूल आपको विंडोज़ लाइन इंटरप्रेटर में कमांड निष्पादित करने, फ़ाइलें अपलोड और डाउनलोड करने और संक्रमित मशीन के सिस्टम को ब्राउज़ करने की अनुमति देता है। ऑपरेटर वीएनसी एकीकरण के माध्यम से स्क्रीन को वास्तविक समय में भी देख सकते हैं।

ऑडियो और वीडियो कैप्चर डिवाइस के माइक्रोफ़ोन और कैमरे के माध्यम से होता है। साझा पहुंच के दौरान, पैनल उपयोगकर्ता इनपुट को ब्लॉक करने के लिए बटन प्रदान करता है, जो हमलावर द्वारा कार्रवाई करते समय रुकावटों को रोकता है। कीलॉगर सभी कीस्ट्रोक्स को रिकॉर्ड करता है और वास्तविक समय में डेटा को कमांड सर्वर पर भेजता है।

क्रिस्टलएक्स आरएटी इन्फोस्टीलर क्रोमियम-आधारित ब्राउज़र पर केंद्रित है, जिसमें क्रोम के संस्करण, साथ ही यांडेक्स और ओपेरा भी शामिल हैं। यह संग्रह स्टीम, डिस्कॉर्ड और टेलीग्राम जैसे अनुप्रयोगों तक फैला हुआ है। वर्तमान में, क्रेडेंशियल चोरी मॉड्यूल भविष्य के अपडेट के लंबित रहने तक अस्थायी रूप से अक्षम बना हुआ है।

पारगमन में क्लिपर तंत्र और डेटा सुरक्षा

क्लिपर घटक क्रिप्टोकरेंसी वॉलेट एड्रेस पैटर्न के लिए क्लिपबोर्ड की निगरानी करता है। जब यह किसी मिलान का पता लगाता है, तो यह स्वचालित रूप से सामग्री को हमलावर द्वारा नियंत्रित डेटा से बदल देता है। यह आदान-प्रदान पीड़ित को स्थानांतरण में परिवर्तन पर ध्यान दिए बिना होता है।

बिल्डर द्वारा उत्पन्न पेलोड को zlib के साथ संपीड़ित किया जाता है और चाचा20 एल्गोरिदम के साथ एन्क्रिप्ट किया जाता है। कमांड और कंट्रोल सर्वर के साथ संचार वेबसॉकेट प्रोटोकॉल का उपयोग करता है, जो लगातार और द्विदिश कनेक्शन बनाए रखता है। प्रारंभिक कनेक्शन के समय, मैलवेयर ट्रैकिंग के लिए संक्रमित सिस्टम का विवरण प्रसारित करता है।

प्रैंकवेयर विशेषताएं जो क्रिस्टलएक्स आरएटी को अलग करती हैं

व्यवधान कार्यों का व्यापक सेट क्रिस्टलएक्स आरएटी को बाजार में उपलब्ध अन्य समान मैलवेयर से मुख्य अंतर का प्रतिनिधित्व करता है। ऑपरेटर डेस्कटॉप वॉलपेपर बदल सकते हैं और स्क्रीन ओरिएंटेशन को उलट सकते हैं। अन्य कार्रवाइयों में माउस बटन को रीमैप करना, कीबोर्ड और मॉनिटर को अस्थायी रूप से अक्षम करना, या कंप्यूटर को जबरन बंद करना शामिल है।

पैनल आपको संदेश भेजने की अनुमति देता है जो एक इंटरैक्टिव संवाद विंडो खोलता है, जिससे हमलावर और पीड़ित के बीच सीधी बातचीत सक्षम होती है। इसके अतिरिक्त, आप डेस्कटॉप आइकन, टास्कबार, टास्क मैनेजर और कमांड प्रॉम्प्ट छिपा सकते हैं। माउस कर्सर को दूर से भी संचालित किया जा सकता है।

ये प्रैंकवेयर सुविधाएँ कम अनुभवी खरीदारों को आकर्षित करने और उपयोगकर्ता का ध्यान भटकाने का काम करती हैं जबकि अन्य मॉड्यूल पृष्ठभूमि में काम करते हैं। ट्रोलिंग और डेटा चोरी का संयोजन विभिन्न साइबर अपराधी प्रोफाइल के लिए एक बहुमुखी उपकरण बनाता है।

पिछले मैलवेयर और रीब्रांडिंग से समानताएँ

विश्लेषकों ने क्रिस्टलएक्स आरएटी और वेबआरएटी, जिसे सलात स्टीलर के नाम से भी जाना जाता है, के बीच मजबूत समानताएं देखीं। दोनों में समान डैशबोर्ड डिज़ाइन, गो भाषा में विकसित कोड और बॉट्स का उपयोग करके एक स्वचालित बिक्री प्रणाली साझा की गई है। प्रतिलिपि के बारे में आलोचना के बाद, जिम्मेदार लोगों ने दृश्य पहचान में बदलाव किए और टूल का नाम बदल दिया।

प्रचार एक नए टेलीग्राम चैनल पर स्थानांतरित हो गया, जिसमें जनता को शामिल करने के लिए एक्सेस कुंजी उपहार और सर्वेक्षण शामिल हैं। उसी समय, एक समर्पित YouTube चैनल ऐसे वीडियो प्रकाशित करता है जो संचालन में कार्यात्मकताओं को प्रदर्शित करते हैं। यह रणनीति पारंपरिक भूमिगत मंच मंडलियों से परे पहुंच का विस्तार करती है।

मैलवेयर का वर्तमान वितरण और पहुंच

आज तक, पहचाने गए संक्रमण के प्रयास मुख्य रूप से रूस में केंद्रित हैं। हालाँकि, मैलवेयर-ए-ए-सर्विस मॉडल क्षेत्रीय प्रतिबंध नहीं लगाता है, जो क्रिस्टलएक्स आरएटी को किसी भी देश में उपयोगकर्ताओं को लक्षित करने की अनुमति देता है। शोधकर्ताओं ने अभी तक निष्पादन योग्य को वितरित करने के लिए उपयोग किए जाने वाले सटीक संक्रमण वेक्टर का विवरण नहीं दिया है।

प्रारंभिक वितरण पद्धति के बारे में सटीक जानकारी के अभाव के कारण तुरंत विशिष्ट निवारक उपाय विकसित करना मुश्किल हो जाता है। उपयोगकर्ताओं को संदिग्ध रिमोट एक्सेस व्यवहार और अनधिकृत संशोधनों का पता लगाने वाले विश्वसनीय सुरक्षा समाधान अपनाने के अलावा, ऑपरेटिंग सिस्टम और एप्लिकेशन को अद्यतित रखना चाहिए।

विश्लेषण सुरक्षा तकनीकी विवरण

स्वचालित बिल्डर में उन्नत एंटी-विश्लेषण विकल्प शामिल हैं जो सुरक्षा शोधकर्ताओं के लिए जोखिम बढ़ाते हैं। इनमें स्टील्थ पैच शामिल हैं जो सिस्टम सुरक्षा कार्यों को बायपास करते हैं और एंटी-अटैच लूप जो डिबगिंग को रोकते हैं। ये तकनीकी परतें वितरण और प्रारंभिक निष्पादन के दौरान मैलवेयर की सुरक्षा करती हैं।

लगातार संचार प्रोटोकॉल बार-बार पुन: कनेक्शन की आवश्यकता के बिना चोरी हुए डेटा को लगातार भेजने की सुविधा प्रदान करता है। यह आर्किटेक्चर परिवर्तनीय कनेक्टिविटी वाले वातावरण में भी स्थिर संचालन में योगदान देता है।

क्रिस्टलएक्स आरएटी ऑपरेटरों को पूर्ण मशीन नियंत्रण से लेकर चुपचाप संवेदनशील जानकारी निकालने तक उपकरणों का एक पूरा सेट प्रदान करता है। दृश्य और इंटरैक्टिव व्यवधान कार्यों का समावेश वर्तमान वाणिज्यिक मैलवेयर पारिस्थितिकी तंत्र में एक असामान्य परत जोड़ता है।