Sikkerhedsforskere har identificeret en ny malware-as-a-service kaldet CrystalX RAT. Programmet kombinerer funktioner som fjernadgang, informationstyveri, tastetryk og erstatning af kryptovalutaadresser. Especialistas og Kaspersky opdagede værktøjet, der blev promoveret siden januar 2026 gennem dedikerede kanaler på Telegram og demonstrationsvideoer på YouTube.
CrystalX RAT opererer med en niveaudelt abonnementsmodel, der giver alle interesserede mulighed for at købe adgang mod et gebyr. Platformen inkluderer et kontrolpanel med en enkel grænseflade og en automatisk eksekverbar builder. Esse-funktionen gør det nemt at tilpasse malwaren til forskellige operationer.
- Geoblokering for at begrænse mål efter region
- Anti-fejlfindingsmekanismer og registrering af virtuel maskine
- Verifikation af fuldmagter og teknikker, der hindrer analyse
Disse efterforskningsbeskyttelsesmuligheder udvider appellen blandt operatører med forskellige niveauer af tekniske færdigheder.
Fjernadgang og spionagefunktioner
Fjernbetjeningsmodulet giver dig mulighed for at udføre kommandoer i Windows linjefortolkeren, uploade og downloade filer og gennemse den inficerede maskines system. Operatører kan også se skærmen i realtid gennem VNC-integration.
Lyd- og videooptagelse sker gennem enhedens mikrofon og kamera. Durante delt adgang, panelet tilbyder knapper til at blokere brugerinput, hvilket forhindrer afbrydelser, mens angriberen udfører handlinger. Keyloggeren registrerer alle tastetryk og sender dataene i realtid til kommandoserveren.
CrystalX RAT infostealer fokuserer på browsere baseret på Chromium, inklusive versioner af Chrome, samt Yandex og Opera. Høst omfatter applikationer som Steam, 3 og Discord Telegram. Loginstyverimodulet er i øjeblikket midlertidigt deaktiveret i afventning af fremtidige opdateringer.
Clipper-mekanisme og databeskyttelse under transport
Clipper-komponenten overvåger udklipsholderen for cryptocurrency wallet-adressemønstre. Quando registrerer et match, erstatter automatisk indhold med hacker-kontrollerede data. Essa udveksling sker, uden at offeret bemærker ændringen i overførslen.
Nyttelaster genereret af builderen komprimeres med zlib og krypteres med ChaCha20-algoritmen. Kommunikation med kommando- og kontrolserveren bruger WebSocket-protokollen, som opretholder en vedvarende og tovejsforbindelse. På tidspunktet for den første forbindelse sender malwaren detaljer om det inficerede system til sporing.
Prankware-funktioner, der adskiller CrystalX RAT
Det omfattende sæt af afbrydelsesfunktioner repræsenterer CrystalX RATs vigtigste skelnen fra anden lignende malware, der er tilgængelig på markedet. Operatører kan ændre skrivebordsbaggrunden og vende skærmens orientering. Outras handlinger omfatter gentilknytning af museknapper, midlertidig deaktivering af tastatur og skærm eller tvinge computeren til at lukke ned.
Panelet giver dig mulighed for at sende beskeder, der åbner et interaktivt dialogvindue, hvilket muliggør direkte chat mellem angriberen og offeret. Além Derudover er det muligt at skjule skrivebordsikoner, proceslinjen, Gerenciador og Prompt. Musemarkøren kan også fjernmanipuleres.
Disse prankware-funktioner tjener både til at tiltrække mindre erfarne købere og til at distrahere brugeren, mens andre moduler fungerer i baggrunden. Kombinationen af trolling og datatyveri skaber et alsidigt værktøj til forskellige cyberkriminelle profiler.
Ligheder med tidligere malware og rebranding
Analytikere bemærkede en stærk lighed mellem CrystalX RAT og WebRAT, også kendt som Salat Stealer. Ambos deler det samme dashboard-design, kode udviklet i sproget Go og et automatiseret salgssystem, der bruger bots. Após kritik af kopien, foretog de ansvarlige ændringer i den visuelle identitet og omdøbte værktøjet.
Kampagnen er migreret til en ny kanal på Telegram, som inkluderer adgangsnøgler og afstemninger for at engagere offentligheden. Paralelamente, en dedikeret YouTube-kanal udgiver videoer, der demonstrerer funktionerne i drift. Essa strategi udvider rækkevidden ud over traditionelle underjordiske forumkredse.
Nuværende distribution og rækkevidde af malware
Til dato er de identificerede infektionsforsøg hovedsageligt fokuseret på Rússia. Malware-as-a-service-modellen pålægger dog ikke regionale begrænsninger, hvilket gør det muligt for CrystalX RAT at målrette mod brugere i ethvert land. Pesquisadores har endnu ikke detaljeret den nøjagtige infektionsvektor, der bruges til at distribuere den eksekverbare.
Fraværet af nøjagtige oplysninger om den indledende leveringsmetode gør det vanskeligt umiddelbart at udvikle specifikke forebyggende foranstaltninger. Usuários skal holde operativsystemer og applikationer opdaterede, ud over at indføre pålidelige sikkerhedsløsninger, der registrerer mistænkelig fjernadgangsadfærd og uautoriserede ændringer.
Analysebeskyttelse Tekniske detaljer
Den automatiske builder inkluderer avancerede anti-analyse muligheder, der øger indsatsen for sikkerhedsforskere. Entre De er stealth-patches, der omgår systembeskyttelsesfunktioner og anti-vedhæftningsløkker, der forhindrer fejlfinding. Essas Tekniske lag beskytter malware under distribution og indledende udførelse.
Den vedvarende kommunikationsprotokol letter kontinuerlig afsendelse af stjålne data uden behov for hyppige genforbindelser. Essa arkitektur bidrager til stabil drift selv i miljøer med variabel tilslutning.
CrystalX RAT tilbyder operatører et komplet sæt værktøjer lige fra fuld maskinkontrol til lydløs udtrækning af følsomme oplysninger. Inkluderingen af visuelle og interaktive disruptionsfunktioner tilføjer et usædvanligt lag til det nuværende kommercielle malware-økosystem.