CrystalX RAT-signaturprogramvara stjäl data och skämtar om infekterade offer

Säkerhetsforskare har identifierat en ny malware-as-a-service som heter CrystalX RAT. Programmet kombinerar funktioner som fjärråtkomst, informationsstöld, infångning av tangenttryckningar och adressbyte av kryptovaluta. Especialistas och Kaspersky upptäckte verktyget som marknadsförts sedan januari 2026 genom dedikerade kanaler på Telegram och demonstrationsvideor på YouTube.

CrystalX RAT arbetar med en nivåbaserad prenumerationsmodell som tillåter alla intresserade att köpa åtkomst mot en avgift. Plattformen innehåller en kontrollpanel med ett enkelt gränssnitt och en automatisk körbar byggare. Esse-funktionen gör det enkelt att anpassa skadlig programvara för olika operationer.

• Geoblockering för att begränsa mål efter region
• Anti-debugging-mekanismer och virtuell maskindetektering
• Verifiering av fullmakter och tekniker som hindrar analys

Dessa utredningsskyddsalternativ breddar attraktionskraften bland operatörer med olika nivåer av teknisk skicklighet.

Fjärråtkomst och spionfunktioner

Fjärrkontrollmodulen låter dig utföra kommandon i linjetolken Windows, ladda upp och ladda ner filer och bläddra i den infekterade maskinens system. Operatörer kan också se skärmen i realtid genom VNC-integration.

Ljud- och videoinspelning sker via enhetens mikrofon och kamera. Durante delad åtkomst, panelen erbjuder knappar för att blockera användarinmatning, vilket förhindrar avbrott medan angriparen utför åtgärder. Keyloggern registrerar alla tangenttryckningar och skickar data i realtid till kommandoservern.

CrystalX RAT infostealer fokuserar på webbläsare baserade på Chromium, inklusive versioner av Chrome, såväl som Yandex och Opera. Skörden sträcker sig till applikationer som Steam och 3 Telegram. Modulen för autentiseringsstöld är för närvarande tillfälligt inaktiverad i väntan på framtida uppdateringar.

Clipper-mekanism och dataskydd under transport

Clipper-komponenten övervakar urklippet för cryptocurrency-plånboksadressmönster. Quando upptäcker en matchning, ersätter automatiskt innehåll med angriparkontrollerad data. Essa utbyte sker utan att offret märker förändringen i överföringen.

Nyttolaster som genereras av byggaren komprimeras med zlib och krypteras med ChaCha20-algoritmen. Kommunikation med kommando- och kontrollservern använder WebSocket-protokollet, som upprätthåller en beständig och dubbelriktad anslutning. Vid tidpunkten för den första anslutningen överför skadlig programvara detaljer om det infekterade systemet för spårning.

Prankware-funktioner som skiljer CrystalX RAT åt

Den omfattande uppsättningen av störningsfunktioner representerar CrystalX RATs huvudsakliga skillnad från andra liknande skadliga program som finns på marknaden. Operatörer kan ändra skrivbordsunderlägget och vända skärmens orientering. Outras åtgärder inkluderar att mappa om musknappar, tillfälligt inaktivera tangentbordet och bildskärmen eller tvinga datorn att stängas av.

Panelen låter dig skicka meddelanden som öppnar ett interaktivt dialogfönster, vilket möjliggör direkt chatt mellan angriparen och offret. Além Dessutom är det möjligt att dölja skrivbordsikoner, aktivitetsfältet, Gerenciador och Prompt. Muspekaren kan också fjärrmanipuleras.

Leia Tambem

Colby Minifie bekräftar Ashley Barretts krafter i The Boys säsong fem

Napoli x Milan i Serie A med bekräftade laguppställningar och var man kan se live

Forskning visar att föräldrar är omedvetna om hur deras barn använder artificiell intelligens

Dessa prankware-funktioner tjänar både till att locka mindre erfarna köpare och för att distrahera användaren medan andra moduler fungerar i bakgrunden. Kombinationen av trolling och datastöld skapar ett mångsidigt verktyg för olika cyberkriminella profiler.

Likheter med tidigare skadlig programvara och omprofilering

Analytiker noterade en stark likhet mellan CrystalX RAT och WebRAT, även känd som Salat Stealer. Ambos delar samma instrumentpaneldesign, kod utvecklad i språket Go och ett automatiserat försäljningssystem som använder bots. Após kritik mot kopian, de ansvariga gjorde ändringar i den visuella identiteten och döpte om verktyget.

Kampanjen har migrerat till en ny kanal på Telegram, som inkluderar tillgång till nyckelpresenter och omröstningar för att engagera allmänheten. Paralelamente, en dedikerad YouTube-kanal publicerar videor som visar funktionerna i drift. Essa strategi utökar räckvidden bortom traditionella underjordiska forumkretsar.

Aktuell distribution och räckvidd för skadlig programvara

Hittills är de identifierade infektionsförsöken huvudsakligen inriktade på Rússia. Skadlig programvara-som-en-tjänst-modellen har dock inga regionala begränsningar, vilket gör att CrystalX RAT kan rikta in sig på användare i vilket land som helst. Pesquisadores har ännu inte specificerat den exakta infektionsvektorn som används för att distribuera den körbara filen.

Frånvaron av korrekt information om den initiala leveransmetoden gör det svårt att omedelbart utveckla specifika förebyggande åtgärder. Usuários måste hålla operativsystem och applikationer uppdaterade, förutom att anta tillförlitliga säkerhetslösningar som upptäcker misstänkt fjärråtkomstbeteende och obehöriga ändringar.

Analysskydd Tekniska detaljer

Den automatiska byggaren innehåller avancerade antianalysalternativ som höjer insatserna för säkerhetsforskare. Entre De är stealth-patchar som kringgår systemskyddsfunktioner och anti-attach-loopar som förhindrar felsökning. Essas Tekniska lager skyddar skadlig programvara under distribution och initial exekvering.

Det beständiga kommunikationsprotokollet underlättar kontinuerlig sändning av stulen data utan behov av frekventa återanslutningar. Essa arkitektur bidrar till stabil drift även i miljöer med variabel anslutning.

CrystalX RAT erbjuder operatörer en komplett uppsättning verktyg som sträcker sig från full maskinkontroll till att tyst extrahera känslig information. Inkluderandet av visuella och interaktiva störningsfunktioner lägger till ett ovanligt lager till det nuvarande kommersiella skadliga ekosystemet.