มัลแวร์ลายเซ็น CrystalX RAT ขโมยข้อมูลและเล่นตลกกับเหยื่อที่ติดเชื้อ

Conceito de ataque cibernético. Alerta de malware, vírus

Conceito de ataque cibernético. Alerta de malware, vírus -Summit Art Creations/shutterstock.com

นักวิจัยด้านความปลอดภัยได้ระบุมัลแวร์ในรูปแบบบริการใหม่ที่เรียกว่า CrystalX RAT โปรแกรมรวมฟังก์ชันการเข้าถึงระยะไกล การโจรกรรมข้อมูล การจับการกดแป้นพิมพ์ และการเปลี่ยนที่อยู่สกุลเงินดิจิทัล ผู้เชี่ยวชาญของ Kaspersky ตรวจพบเครื่องมือที่ได้รับการส่งเสริมตั้งแต่เดือนมกราคม 2569 ผ่านทางช่องทางเฉพาะบน Telegram และวิดีโอสาธิตบน YouTube

CrystalX RAT ดำเนินการด้วยรูปแบบการสมัครสมาชิกแบบแบ่งระดับซึ่งช่วยให้ทุกคนที่สนใจซื้อการเข้าถึงโดยมีค่าธรรมเนียม แพลตฟอร์มดังกล่าวมีแผงควบคุมพร้อมอินเทอร์เฟซที่เรียบง่ายและตัวสร้างที่ปฏิบัติการได้อัตโนมัติ คุณสมบัตินี้ทำให้ง่ายต่อการปรับแต่งมัลแวร์สำหรับการทำงานที่แตกต่างกัน

  • การปิดกั้นทางภูมิศาสตร์เพื่อจำกัดเป้าหมายตามภูมิภาค
  • กลไกป้องกันการดีบักและการตรวจจับเครื่องเสมือน
  • การตรวจสอบผู้รับมอบฉันทะและเทคนิคที่เป็นอุปสรรคต่อการวิเคราะห์

ตัวเลือกการป้องกันการสอบสวนเหล่านี้ขยายความน่าดึงดูดในหมู่ผู้ปฏิบัติงานที่มีทักษะทางเทคนิคในระดับต่างๆ

การเข้าถึงระยะไกลและการสอดแนมคุณสมบัติ

โมดูลการควบคุมระยะไกลช่วยให้คุณสามารถดำเนินการคำสั่งในตัวแปลบรรทัดของ Windows อัพโหลดและดาวน์โหลดไฟล์และเรียกดูระบบของเครื่องที่ติดไวรัส ผู้ปฏิบัติงานยังสามารถดูหน้าจอแบบเรียลไทม์ผ่านการผสานรวม VNC

การจับเสียงและวิดีโอเกิดขึ้นผ่านไมโครโฟนและกล้องของอุปกรณ์ ในระหว่างการเข้าถึงร่วมกัน แผงควบคุมจะมีปุ่มสำหรับบล็อกการป้อนข้อมูลของผู้ใช้ ซึ่งป้องกันการหยุดชะงักในขณะที่ผู้โจมตีดำเนินการ Keylogger จะบันทึกการกดแป้นพิมพ์ทั้งหมดและส่งข้อมูลแบบเรียลไทม์ไปยังเซิร์ฟเวอร์คำสั่ง

โปรแกรมรวบรวมข้อมูล CrystalX RAT มุ่งเน้นไปที่เบราว์เซอร์ที่ใช้ Chromium รวมถึงเวอร์ชันของ Chrome ตลอดจน Yandex และ Opera คอลเลกชันนี้ขยายไปถึงแอปพลิเคชันต่างๆ เช่น Steam, Discord และ Telegram ในปัจจุบัน โมดูลการขโมยข้อมูลรับรองยังคงปิดใช้งานชั่วคราวเพื่อรอการอัปเดตในอนาคต

ไวรัส – MR SOCCER/Shutterstock.com

กลไกของคลิปเปอร์และการปกป้องข้อมูลระหว่างทาง

องค์ประกอบปัตตาเลี่ยนจะตรวจสอบคลิปบอร์ดเพื่อหารูปแบบที่อยู่กระเป๋าเงินดิจิตอล เมื่อตรวจพบการจับคู่ ระบบจะแทนที่เนื้อหาด้วยข้อมูลที่ควบคุมโดยผู้โจมตีโดยอัตโนมัติ การแลกเปลี่ยนนี้เกิดขึ้นโดยที่เหยื่อไม่สังเกตเห็นการเปลี่ยนแปลงในการโอน

เพย์โหลดที่สร้างโดยตัวสร้างจะถูกบีบอัดด้วย zlib และเข้ารหัสด้วยอัลกอริธึม ChaCha20 การสื่อสารกับเซิร์ฟเวอร์คำสั่งและการควบคุมใช้โปรโตคอล WebSocket ซึ่งรักษาการเชื่อมต่อแบบถาวรและแบบสองทิศทาง ในช่วงเวลาของการเชื่อมต่อครั้งแรก มัลแวร์จะส่งรายละเอียดของระบบที่ติดไวรัสเพื่อการติดตาม

คุณสมบัติการเล่นตลกที่ทำให้ CrystalX RAT แตกต่าง

ชุดฟังก์ชันการหยุดชะงักที่ครอบคลุมแสดงถึงความแตกต่างหลักของ CrystalX RAT จากมัลแวร์อื่นที่คล้ายคลึงกันที่มีอยู่ในตลาด ผู้ปฏิบัติงานสามารถเปลี่ยนวอลเปเปอร์เดสก์ท็อปและกลับทิศทางหน้าจอได้ การดำเนินการอื่นๆ ได้แก่ การแมปปุ่มเมาส์ใหม่ การปิดใช้งานแป้นพิมพ์และจอภาพชั่วคราว หรือการบังคับให้คอมพิวเตอร์ปิดเครื่อง

แผงควบคุมช่วยให้คุณสามารถส่งข้อความที่เปิดหน้าต่างโต้ตอบแบบโต้ตอบ เปิดใช้งานการแชทโดยตรงระหว่างผู้โจมตีและเหยื่อ นอกจากนี้ คุณยังสามารถซ่อนไอคอนเดสก์ท็อป แถบงาน ตัวจัดการงาน และพร้อมรับคำสั่งได้ เคอร์เซอร์ของเมาส์สามารถจัดการจากระยะไกลได้

ฟีเจอร์เล่นแกล้งกันเหล่านี้ทำหน้าที่ดึงดูดผู้ซื้อที่มีประสบการณ์น้อย และเบี่ยงเบนความสนใจของผู้ใช้ในขณะที่โมดูลอื่นๆ ทำงานในเบื้องหลัง การผสมผสานระหว่างการหลอกและการขโมยข้อมูลทำให้เกิดเครื่องมืออเนกประสงค์สำหรับโปรไฟล์อาชญากรไซเบอร์ที่แตกต่างกัน

ความคล้ายคลึงกับมัลแวร์ก่อนหน้าและการรีแบรนด์

นักวิเคราะห์สังเกตเห็นความคล้ายคลึงกันอย่างมากระหว่าง CrystalX RAT และ WebRAT หรือที่รู้จักกันในชื่อ Salat Stealer ทั้งสองมีการออกแบบแดชบอร์ดที่เหมือนกัน โค้ดที่พัฒนาในภาษา Go และระบบการขายอัตโนมัติโดยใช้บอท หลังจากการวิพากษ์วิจารณ์เกี่ยวกับการคัดลอก ผู้รับผิดชอบได้ทำการเปลี่ยนแปลงอัตลักษณ์ทางภาพและเปลี่ยนชื่อเครื่องมือ

การส่งเสริมการขายได้ย้ายไปยังช่องทาง Telegram ใหม่ ซึ่งรวมถึงการเข้าถึงการแจกของรางวัลที่สำคัญและการสำรวจความคิดเห็นเพื่อดึงดูดสาธารณชน ในขณะเดียวกัน ช่อง YouTube เฉพาะจะเผยแพร่วิดีโอที่สาธิตฟังก์ชันการทำงาน กลยุทธ์นี้ขยายการเข้าถึงให้มากกว่าแวดวงฟอรัมใต้ดินแบบเดิมๆ

การแพร่กระจายและการเข้าถึงมัลแวร์ในปัจจุบัน

จนถึงปัจจุบัน ความพยายามในการติดเชื้อที่ระบุได้ส่วนใหญ่กระจุกตัวอยู่ในรัสเซีย อย่างไรก็ตาม โมเดลมัลแวร์ในรูปแบบบริการไม่ได้กำหนดข้อจำกัดในระดับภูมิภาค ซึ่งทำให้ CrystalX RAT สามารถกำหนดเป้าหมายผู้ใช้ในประเทศใดก็ได้ นักวิจัยยังไม่ได้ให้รายละเอียดเกี่ยวกับเวกเตอร์การติดไวรัสที่แน่นอนซึ่งใช้ในการแจกจ่ายไฟล์ปฏิบัติการ

การไม่มีข้อมูลที่ถูกต้องเกี่ยวกับวิธีการจัดส่งเบื้องต้นทำให้ยากต่อการพัฒนามาตรการป้องกันเฉพาะในทันที ผู้ใช้จะต้องปรับปรุงระบบปฏิบัติการและแอพพลิเคชั่นให้ทันสมัยอยู่เสมอ นอกเหนือจากการใช้โซลูชั่นรักษาความปลอดภัยที่เชื่อถือได้ ซึ่งตรวจจับพฤติกรรมการเข้าถึงระยะไกลที่น่าสงสัยและการแก้ไขที่ไม่ได้รับอนุญาต

รายละเอียดทางเทคนิคการป้องกันการวิเคราะห์

เครื่องมือสร้างอัตโนมัติมีตัวเลือกการป้องกันการวิเคราะห์ขั้นสูงที่เพิ่มความเสี่ยงให้กับนักวิจัยด้านความปลอดภัย ซึ่งรวมถึงแพตช์ซ่อนตัวที่ข้ามฟังก์ชันการป้องกันของระบบและลูปป้องกันการติดที่ป้องกันการดีบัก ชั้นทางเทคนิคเหล่านี้ปกป้องมัลแวร์ในระหว่างการเผยแพร่และการดำเนินการครั้งแรก

โปรโตคอลการสื่อสารแบบถาวรช่วยให้ส่งข้อมูลที่ถูกขโมยได้อย่างต่อเนื่องโดยไม่จำเป็นต้องเชื่อมต่อใหม่บ่อยครั้ง สถาปัตยกรรมนี้มีส่วนช่วยให้การทำงานมีความเสถียรแม้ในสภาพแวดล้อมที่มีการเชื่อมต่อที่หลากหลาย

CrystalX RAT นำเสนอชุดเครื่องมือครบชุดแก่ผู้ปฏิบัติงาน ตั้งแต่การควบคุมเครื่องจักรเต็มรูปแบบไปจนถึงการแยกข้อมูลที่ละเอียดอ่อนโดยไร้เสียง การรวมฟังก์ชันการหยุดชะงักด้วยภาพและการโต้ตอบจะเพิ่มชั้นที่ผิดปกติให้กับระบบนิเวศของมัลแวร์เชิงพาณิชย์ในปัจจุบัน

Tags: มัลแวร์ Crystalxมัลแวร์ขโมยข้อมูลหนูคริสตัลเอ็กซ์เทคโนโลยีเมาส์เล่นตลก