Tecnologia

CrystalX RAT malware por assinatura rouba dados e aplica piadas em vítimas infectadas

Por Beatriz 4 de abril de 2026 6 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Conceito de ataque cibernético. Alerta de malware, vírus
Foto: Conceito de ataque cibernético. Alerta de malware, vírus -Summit Art Creations/shutterstock.com

Pesquisadores de segurança identificaram um novo malware como serviço chamado CrystalX RAT. O programa combina funções de acesso remoto, roubo de informações, captura de teclas e substituição de endereços de criptomoedas. Especialistas da Kaspersky detectaram a ferramenta promovida desde janeiro de 2026 por meio de canais dedicados no Telegram e vídeos demonstrativos no YouTube.

O CrystalX RAT opera com um modelo de assinatura por níveis que permite a qualquer interessado adquirir o acesso mediante pagamento. A plataforma inclui um painel de controle com interface simples e um construtor automático de executáveis. Esse recurso facilita a personalização do malware para diferentes operações.

  • Bloqueio geográfico para limitar alvos por região
  • Mecanismos anti-debugging e detecção de máquinas virtuais
  • Verificação de proxies e técnicas que dificultam análises

Essas opções de proteção contra investigação ampliam o apelo entre operadores com diferentes níveis de habilidade técnica.

Funcionalidades de acesso remoto e espionagem

O módulo de controle remoto permite executar comandos no interpretador de linha do Windows, realizar upload e download de arquivos e navegar pelo sistema da máquina infectada. Os operadores também conseguem visualizar a tela em tempo real por meio de uma integração com VNC.

A captura de áudio e vídeo ocorre por meio do microfone e da câmera do dispositivo. Durante o acesso compartilhado, o painel oferece botões para bloquear entradas do usuário, o que evita interrupções enquanto o invasor realiza ações. O keylogger registra todas as teclas digitadas e envia os dados em tempo real para o servidor de comando.

O infostealer do CrystalX RAT foca em navegadores baseados em Chromium, incluindo versões do Chrome, além do Yandex e do Opera. A coleta se estende a aplicativos como Steam, Discord e Telegram. No momento, o módulo de roubo de credenciais permanece temporariamente desativado à espera de atualizações futuras.

vírus
vírus – MR SOCCER/Shutterstock.com

Mecanismo de clipper e proteção de dados em trânsito

O componente clipper monitora a área de transferência em busca de padrões de endereços de carteiras de criptomoedas. Quando detecta uma correspondência, substitui automaticamente o conteúdo pelos dados controlados pelo atacante. Essa troca ocorre sem que a vítima perceba a alteração na transferência.

As cargas úteis geradas pelo construtor são compactadas com zlib e criptografadas com o algoritmo ChaCha20. A comunicação com o servidor de comando e controle utiliza o protocolo WebSocket, que mantém uma conexão persistente e bidirecional. No instante da conexão inicial, o malware transmite detalhes do sistema infectado para rastreamento.

Recursos de prankware que diferenciam o CrystalX RAT

O conjunto extenso de funções de perturbação representa o principal diferencial do CrystalX RAT em relação a outros malwares semelhantes disponíveis no mercado. Os operadores podem alterar o papel de parede da área de trabalho e inverter a orientação da tela. Outras ações incluem remapear botões do mouse, desativar temporariamente teclado e monitor, ou forçar o desligamento do computador.

O painel permite enviar mensagens que abrem uma janela de diálogo interativa, possibilitando um bate-papo direto entre o invasor e a vítima. Além disso, é possível ocultar ícones da área de trabalho, a barra de tarefas, o Gerenciador de Tarefas e o Prompt de Comando. O cursor do mouse também pode ser manipulado de forma remota.

Leia Tambem
Google libera Android 17 Beta 4.1 para dispositivos Pixel

Google libera Android 17 Beta 4.1 para dispositivos Pixel

Lista reúne 11 jogos de ficção científica cozy para experiências relaxantes no espaço; confira quais são

Lista reúne 11 jogos de ficção científica cozy para experiências relaxantes no espaço; confira quais são

MSI Claw 8 EX AI+ é apresentado no Computex com Intel Arc G3 Extreme

MSI Claw 8 EX AI+ é apresentado no Computex com Intel Arc G3 Extreme

Esses recursos de prankware servem tanto para atrair compradores menos experientes quanto para distrair o usuário enquanto outros módulos operam em segundo plano. A combinação de trollagem com roubo de dados cria uma ferramenta versátil para diferentes perfis de criminosos cibernéticos.

Semelhanças com malware anterior e rebranding

Analistas observaram forte semelhança entre o CrystalX RAT e o WebRAT, também conhecido como Salat Stealer. Ambos compartilham o mesmo design de painel, código desenvolvido em linguagem Go e um sistema de vendas automatizado por meio de bots. Após críticas sobre a cópia, os responsáveis realizaram mudanças na identidade visual e renomearam a ferramenta.

A promoção migrou para um novo canal no Telegram, que inclui sorteios de chaves de acesso e enquetes para engajar o público. Paralelamente, um canal dedicado no YouTube publica vídeos que demonstram as funcionalidades em operação. Essa estratégia amplia o alcance além dos círculos tradicionais de fóruns underground.

Distribuição e alcance atual do malware

Até o momento, as tentativas de infecção identificadas concentram-se principalmente na Rússia. No entanto, o modelo de malware como serviço não impõe restrições regionais, o que permite que o CrystalX RAT atinja usuários em qualquer país. Pesquisadores ainda não detalharam o vetor exato de infecção utilizado para distribuir o executável.

A ausência de informações precisas sobre o método de entrega inicial dificulta o desenvolvimento imediato de medidas preventivas específicas. Usuários devem manter sistemas operacionais e aplicativos atualizados, além de adotar soluções de segurança confiáveis que detectem comportamentos suspeitos de acesso remoto e modificações não autorizadas.

Detalhes técnicos de proteção contra análise

O construtor automático inclui opções avançadas de anti-análise que elevam a dificuldade para pesquisadores de segurança. Entre elas estão patches stealth que contornam funções de proteção do sistema e loops anti-attach que impedem depuração. Essas camadas técnicas protegem o malware durante a distribuição e execução inicial.

O protocolo de comunicação persistente facilita o envio contínuo de dados roubados sem necessidade de reconexões frequentes. Essa arquitetura contribui para a estabilidade da operação mesmo em ambientes com conectividade variável.

O CrystalX RAT oferece aos operadores um conjunto completo de ferramentas que vão desde o controle total da máquina até a extração silenciosa de informações sensíveis. A inclusão de funções de perturbação visual e interativa adiciona uma camada incomum no ecossistema atual de malwares comerciais.