CrystalX RAT-signaturskadevare stjeler data og spiller vitser om infiserte ofre

Sikkerhetsforskere har identifisert en ny malware-as-a-service kalt CrystalX RAT. Programmet kombinerer funksjoner som fjerntilgang, informasjonstyveri, tastetrykkfangst og bytte av kryptovalutaadresser. Especialistas og Kaspersky oppdaget verktøyet som ble promotert siden januar 2026 gjennom dedikerte kanaler på Telegram og demonstrasjonsvideoer på YouTube.

CrystalX RAT opererer med en trinnvis abonnementsmodell som lar alle interesserte kjøpe tilgang mot en avgift. Plattformen inkluderer et kontrollpanel med et enkelt grensesnitt og en automatisk kjørbar bygger. Esse-funksjonen gjør det enkelt å tilpasse skadelig programvare for ulike operasjoner.

• Geoblokkering for å begrense mål etter region
• Anti-feilsøkingsmekanismer og virtuell maskindeteksjon
• Verifikasjon av fullmakter og teknikker som hindrer analyse

Disse etterforskningsbeskyttelsesalternativene utvider appellen blant operatører med ulike nivåer av tekniske ferdigheter.

Fjerntilgang og spioneringsfunksjoner

Fjernkontrollmodulen lar deg utføre kommandoer i Windows linjetolken, laste opp og laste ned filer og bla gjennom den infiserte maskinens system. Operatører kan også se skjermen i sanntid gjennom VNC-integrasjon.

Lyd- og videoopptak skjer gjennom enhetens mikrofon og kamera. Durante delt tilgang, panelet tilbyr knapper for å blokkere brukerinndata, noe som forhindrer avbrudd mens angriperen utfører handlinger. Tasteloggeren registrerer alle tastetrykk og sender dataene i sanntid til kommandoserveren.

CrystalX RAT infostealer fokuserer på nettlesere basert på Chromium, inkludert versjoner av Chrome, samt Yandex og Opera. Innhøsting strekker seg til applikasjoner som Discord og 3 Telegram. Modulen for legitimasjonstyveri er midlertidig deaktivert i påvente av fremtidige oppdateringer.

Clipper-mekanisme og databeskyttelse under transport

Clipper-komponenten overvåker utklippstavlen for cryptocurrency-lommebokadressemønstre. Quando oppdager en kamp, ​​erstatter automatisk innhold med angriperkontrollerte data. Essa utveksling skjer uten at offeret merker endringen i overføringen.

Nyttelaster generert av byggherren komprimeres med zlib og krypteres med ChaCha20-algoritmen. Kommunikasjon med kommando- og kontrollserveren bruker WebSocket-protokollen, som opprettholder en vedvarende og toveis tilkobling. På tidspunktet for den første tilkoblingen, overfører skadelig programvare detaljer om det infiserte systemet for sporing.

Prankware-funksjoner som skiller CrystalX RAT fra hverandre

Det omfattende settet med avbruddsfunksjoner representerer CrystalX RATs viktigste forskjell fra annen lignende skadelig programvare tilgjengelig på markedet. Operatører kan endre skrivebordsbakgrunnen og snu skjermretningen. Outras handlinger inkluderer remapping av museknapper, midlertidig deaktivering av tastaturet og skjermen, eller tvinge datamaskinen til å slå seg av.

Panelet lar deg sende meldinger som åpner et interaktivt dialogvindu, som muliggjør direkte chat mellom angriperen og offeret. Além I tillegg er det mulig å skjule skrivebordsikoner, oppgavelinjen, Gerenciador og Prompt. Musepekeren kan også manipuleres eksternt.

Leia Tambem

Ny batteritest setter Galaxy S26 Ultra foran iPhone 17 Pro Max i global rangering

Forskning viser at foreldre ikke er klar over hvordan barna deres bruker kunstig intelligens

Samsung slipper ny systemoppdatering med nye funksjoner for Galaxy Watch 4-brukere

Disse prankware-funksjonene tjener både til å tiltrekke seg mindre erfarne kjøpere og for å distrahere brukeren mens andre moduler opererer i bakgrunnen. Kombinasjonen av trolling og datatyveri skaper et allsidig verktøy for ulike nettkriminelle profiler.

Likheter med tidligere skadelig programvare og rebranding

Analytikere bemerket en sterk likhet mellom CrystalX RAT og WebRAT, også kjent som Salat Stealer. Ambos deler samme dashborddesign, kode utviklet på språket Go, og et automatisert salgssystem som bruker roboter. Após kritikk om kopien, gjorde de ansvarlige endringer i den visuelle identiteten og ga nytt navn til verktøyet.

Kampanjen har migrert til en ny kanal på Telegram, som inkluderer tilgang til nøkkelgaver og meningsmålinger for å engasjere publikum. Paralelamente, en dedikert YouTube-kanal publiserer videoer som demonstrerer funksjonene i drift. Essa strategi utvider rekkevidden utover tradisjonelle underjordiske forumkretser.

Nåværende distribusjon og rekkevidde av skadevaren

Til dags dato er de identifiserte infeksjonsforsøkene hovedsakelig fokusert på Rússia. Malware-som-en-tjeneste-modellen pålegger imidlertid ikke regionale restriksjoner, noe som lar CrystalX RAT målrette mot brukere i alle land. Pesquisadores har ennå ikke detaljert den eksakte infeksjonsvektoren som brukes til å distribuere den kjørbare filen.

Fraværet av nøyaktig informasjon om den første leveringsmetoden gjør det vanskelig å umiddelbart utvikle spesifikke forebyggende tiltak. Usuários må holde operativsystemer og applikasjoner oppdatert, i tillegg til å ta i bruk pålitelige sikkerhetsløsninger som oppdager mistenkelig fjerntilgangsadferd og uautoriserte modifikasjoner.

Analysebeskyttelse Tekniske detaljer

Den automatiske byggeren inkluderer avanserte antianalysealternativer som øker innsatsen for sikkerhetsforskere. Entre De er stealth-patcher som omgår systembeskyttelsesfunksjoner og anti-feste-løkker som forhindrer feilsøking. Essas Tekniske lag beskytter skadelig programvare under distribusjon og innledende kjøring.

Den vedvarende kommunikasjonsprotokollen forenkler kontinuerlig sending av stjålne data uten behov for hyppige retilkoblinger. Essa arkitektur bidrar til stabil drift selv i miljøer med variabel tilkobling.

CrystalX RAT tilbyr operatører et komplett sett med verktøy som spenner fra full maskinkontroll til stille uttrekking av sensitiv informasjon. Inkluderingen av visuelle og interaktive forstyrrelsesfunksjoner legger til et uvanlig lag til det nåværende kommersielle skadevareøkosystemet.