CrystalX RAT-signatuurmalware steelt gegevens en maakt grappen over geïnfecteerde slachtoffers

Beveiligingsonderzoekers hebben een nieuwe malware-as-a-service geïdentificeerd, genaamd CrystalX RAT. Het programma combineert functies van externe toegang, informatiediefstal, het vastleggen van toetsaanslagen en vervanging van cryptocurrency-adressen. Especialistas en Kaspersky hebben de tool gedetecteerd die sinds januari 2026 wordt gepromoot via speciale kanalen op Telegram en demonstratievideo’s op YouTube.

CrystalX RAT werkt met een gelaagd abonnementsmodel waarmee iedereen die geïnteresseerd is toegang kan kopen tegen een vergoeding. Het platform bevat een controlepaneel met een eenvoudige interface en een automatische uitvoerbare bouwer. De Esse-functie maakt het eenvoudig om de malware aan te passen voor verschillende bewerkingen.

• Geoblocking om doelen per regio te beperken
• Anti-foutopsporingsmechanismen en detectie van virtuele machines
• Verificatie van proxy’s en technieken die analyse belemmeren

Deze opties voor onderzoeksbescherming vergroten de aantrekkingskracht van exploitanten met verschillende niveaus van technische vaardigheden.

Toegang op afstand en spionagefuncties

Met de afstandsbedieningsmodule kunt u opdrachten uitvoeren in de lijninterpreter Windows, bestanden uploaden en downloaden en door het systeem van de geïnfecteerde machine bladeren. Operators kunnen het scherm ook in realtime bekijken via VNC-integratie.

Audio- en video-opname vindt plaats via de microfoon en camera van het apparaat. Durante gedeelde toegang, biedt het paneel knoppen om gebruikersinvoer te blokkeren, waardoor onderbrekingen worden voorkomen terwijl de aanvaller acties uitvoert. De keylogger registreert alle toetsaanslagen en verzendt de gegevens in realtime naar de commandoserver.

De CrystalX RAT-infostealer richt zich op browsers gebaseerd op Chromium, inclusief versies van Chrome, evenals Yandex en Opera. Harvesting strekt zich uit tot applicaties zoals Steam, Discord en Telegram. De module voor diefstal van inloggegevens is momenteel tijdelijk uitgeschakeld in afwachting van toekomstige updates.

Clipper-mechanisme en gegevensbescherming tijdens het transport

De clippercomponent controleert het klembord op adrespatronen van cryptocurrency-portemonnees. Quando detecteert een overeenkomst en vervangt automatisch de inhoud door door de aanvaller gecontroleerde gegevens. Essa De uitwisseling vindt plaats zonder dat het slachtoffer de verandering in de overdracht opmerkt.

Door de bouwer gegenereerde payloads worden gecomprimeerd met zlib en gecodeerd met het ChaCha20-algoritme. De communicatie met de command-and-control-server maakt gebruik van het WebSocket-protocol, dat een permanente en bidirectionele verbinding onderhoudt. Op het moment van de eerste verbinding verzendt de malware details van het geïnfecteerde systeem voor tracking.

Prankware-functies die CrystalX RAT onderscheiden

De uitgebreide reeks verstoringsfuncties vormt de belangrijkste onderscheidende factor van CrystalX RAT ten opzichte van andere soortgelijke malware die op de markt verkrijgbaar is. Operators kunnen de bureaubladachtergrond wijzigen en de schermoriëntatie omkeren. Outras acties omvatten het opnieuw toewijzen van muisknoppen, het tijdelijk uitschakelen van het toetsenbord en de monitor, of het gedwongen afsluiten van de computer.

Via het paneel kunt u berichten verzenden die een interactief dialoogvenster openen, waardoor directe chat tussen de aanvaller en het slachtoffer mogelijk wordt. Além Daarnaast is het mogelijk om bureaubladpictogrammen, de taakbalk, Gerenciador en Prompt te verbergen. De muiscursor kan ook op afstand worden gemanipuleerd.

Leia Tambem

Napoli x Milan in Serie A met bevestigde opstellingen en waar je live kunt kijken

Uit onderzoek blijkt dat ouders niet weten hoe hun kinderen kunstmatige intelligentie gebruiken

Digitale retail verlaagt de waarde van de Galaxy S25 5G-smartphone met bankbonussen en apparaatuitwisseling

Deze prankware-functies dienen zowel om minder ervaren kopers aan te trekken als om de gebruiker af te leiden terwijl andere modules op de achtergrond actief zijn. De combinatie van trollen en gegevensdiefstal creëert een veelzijdige tool voor verschillende cybercriminele profielen.

Overeenkomsten met eerdere malware en rebranding

Analisten merkten een sterke gelijkenis op tussen CrystalX RAT en WebRAT, ook bekend als Salat Stealer. Ambos delen hetzelfde dashboardontwerp, code ontwikkeld in de taal Go en een geautomatiseerd verkoopsysteem dat gebruik maakt van bots. Após kritiek op de kopie, de verantwoordelijken brachten wijzigingen aan in de visuele identiteit en hernoemden de tool.

De promotie is gemigreerd naar een nieuw kanaal op Telegram, dat toegang biedt tot belangrijke weggeefacties en opiniepeilingen om het publiek te betrekken. Paralelamente, een speciaal YouTube-kanaal publiceert video’s die de werking van de functies demonstreren. De Essa-strategie vergroot het bereik buiten de traditionele ondergrondse forumkringen.

Huidige verspreiding en bereik van de malware

Tot nu toe zijn de geïdentificeerde infectiepogingen voornamelijk gericht op Rússia. Het malware-as-a-service-model legt echter geen regionale beperkingen op, waardoor de CrystalX RAT zich op gebruikers in elk land kan richten. Pesquisadores hebben nog niet de exacte infectievector beschreven die wordt gebruikt om het uitvoerbare bestand te distribueren.

Het ontbreken van nauwkeurige informatie over de initiële toedieningsmethode maakt het moeilijk om onmiddellijk specifieke preventieve maatregelen te ontwikkelen. Usuários moet besturingssystemen en applicaties up-to-date houden, naast het adopteren van betrouwbare beveiligingsoplossingen die verdacht gedrag van externe toegang en ongeoorloofde wijzigingen detecteren.

Analyse Bescherming Technische details

De automatische bouwer bevat geavanceerde anti-analyseopties die de inzet voor beveiligingsonderzoekers verhogen. Entre Het zijn stealth-patches die systeembeveiligingsfuncties omzeilen en anti-attach-lussen die foutopsporing voorkomen. Essas Technische lagen beschermen malware tijdens distributie en initiële uitvoering.

Het persistente communicatieprotocol maakt het continu verzenden van gestolen gegevens mogelijk zonder dat er regelmatig opnieuw verbinding moet worden gemaakt. Essa-architectuur draagt ​​bij aan een stabiele werking, zelfs in omgevingen met variabele connectiviteit.

CrystalX RAT biedt operators een complete set tools, variërend van volledige machinebesturing tot het geruisloos extraheren van gevoelige informatie. De toevoeging van visuele en interactieve verstoringsfuncties voegt een ongebruikelijke laag toe aan het huidige commerciële malware-ecosysteem.