El malware con la firma CrystalX RAT roba datos y gasta bromas a las víctimas infectadas
Los investigadores de seguridad han identificado un nuevo malware como servicio llamado CrystalX RAT. El programa combina funciones de acceso remoto, robo de información, captura de pulsaciones de teclas y reemplazo de direcciones de criptomonedas. Especialistas y Kaspersky detectaron la herramienta promocionada desde enero de 2026 a través de canales dedicados en Telegram y vídeos de demostración en YouTube.
CrystalX RAT opera con un modelo de suscripción escalonada que permite a cualquier persona interesada comprar acceso pagando una tarifa. La plataforma incluye un panel de control con una interfaz sencilla y un generador de ejecutables automático. La función Esse facilita la personalización del malware para diferentes operaciones.
- Bloqueo geográfico para limitar los objetivos por región
- Mecanismos anti-depuración y detección de máquinas virtuales.
- Verificación de proxies y técnicas que dificultan el análisis
Estas opciones de protección de la investigación amplían el atractivo entre operadores con diferentes niveles de habilidad técnica.
Funciones de acceso remoto y espionaje
El módulo de control remoto le permite ejecutar comandos en el intérprete de línea Windows, cargar y descargar archivos y explorar el sistema de la máquina infectada. Los operadores también pueden ver la pantalla en tiempo real a través de la integración VNC.
La captura de audio y video se realiza a través del micrófono y la cámara del dispositivo. Durante de acceso compartido, el panel ofrece botones para bloquear la entrada del usuario, lo que evita interrupciones mientras el atacante realiza acciones. El keylogger registra todas las pulsaciones de teclas y envía los datos en tiempo real al servidor de comandos.
El infostealer CrystalX RAT se centra en navegadores basados en Chromium, incluidas las versiones de Chrome, así como Yandex y Opera. La recolección se extiende a aplicaciones como Steam, Discord y Telegram. El módulo de robo de credenciales está actualmente deshabilitado temporalmente en espera de futuras actualizaciones.
Mecanismo clipper y protección de datos en tránsito
El componente clipper monitorea el portapapeles en busca de patrones de direcciones de billeteras de criptomonedas. Quando detecta una coincidencia y reemplaza automáticamente el contenido con datos controlados por el atacante. Essa se produce el intercambio sin que la víctima note el cambio en la transferencia.
Las cargas útiles generadas por el constructor se comprimen con zlib y se cifran con el algoritmo ChaCha20. La comunicación con el servidor de comando y control utiliza el protocolo WebSocket, que mantiene una conexión persistente y bidireccional. En el momento de la conexión inicial, el malware transmite detalles del sistema infectado para su seguimiento.
Funciones de broma que distinguen a CrystalX RAT
El amplio conjunto de funciones de interrupción representa el principal diferenciador de CrystalX RAT de otros programas maliciosos similares disponibles en el mercado. Los operadores pueden cambiar el fondo de pantalla del escritorio e invertir la orientación de la pantalla. Las acciones Outras incluyen reasignar los botones del mouse, desactivar temporalmente el teclado y el monitor o forzar el apagado de la computadora.
El panel le permite enviar mensajes que abren una ventana de diálogo interactiva, lo que permite el chat directo entre el atacante y la víctima. Além Además, es posible ocultar los iconos del escritorio, la barra de tareas, Gerenciador y Prompt. El cursor del mouse también se puede manipular de forma remota.
Estas funciones de broma sirven tanto para atraer compradores menos experimentados como para distraer al usuario mientras otros módulos funcionan en segundo plano. La combinación de trolling y robo de datos crea una herramienta versátil para diferentes perfiles de ciberdelincuentes.
Similitudes con malware anterior y cambio de marca
Los analistas notaron una gran similitud entre CrystalX RAT y WebRAT, también conocido como Salat Stealer. Ambos comparten el mismo diseño de tablero, código desarrollado en el lenguaje Go y un sistema de ventas automatizado que utiliza bots. Após críticas sobre la copia, los responsables realizaron cambios en la identidad visual y cambiaron el nombre de la herramienta.
La promoción ha migrado a un nuevo canal en Telegram, que incluye acceso a sorteos de claves y encuestas para atraer al público. Paralelamente, un canal exclusivo de YouTube publica vídeos que demuestran las funciones en funcionamiento. La estrategia Essa amplía su alcance más allá de los círculos tradicionales de foros clandestinos.
Distribución actual y alcance del malware.
Hasta la fecha, los intentos de infección identificados se centran principalmente en Rússia. Sin embargo, el modelo de malware como servicio no impone restricciones regionales, lo que permite que CrystalX RAT apunte a usuarios de cualquier país. Pesquisadores aún no ha detallado el vector de infección exacto utilizado para distribuir el ejecutable.
La falta de información precisa sobre el método de entrega inicial dificulta el desarrollo inmediato de medidas preventivas específicas. Usuários debe mantener actualizados los sistemas operativos y aplicaciones, además de adoptar soluciones de seguridad confiables que detecten comportamientos sospechosos de acceso remoto y modificaciones no autorizadas.
Detalles técnicos de protección de análisis
El generador automático incluye opciones avanzadas de antianálisis que aumentan las apuestas para los investigadores de seguridad. Entre Son parches sigilosos que evitan las funciones de protección del sistema y los bucles anti-adjunción que impiden la depuración. Essas Las capas técnicas protegen el malware durante la distribución y ejecución inicial.
El protocolo de comunicación persistente facilita el envío continuo de datos robados sin necesidad de reconexiones frecuentes. La arquitectura Essa contribuye a un funcionamiento estable incluso en entornos con conectividad variable.
CrystalX RAT ofrece a los operadores un conjunto completo de herramientas que van desde el control total de la máquina hasta la extracción silenciosa de información confidencial. La inclusión de funciones de disrupción visuales e interactivas añade una capa inusual al actual ecosistema de malware comercial.
Veja Tambem em Noticias (ES)
Una nueva prueba de batería coloca al Galaxy S26 Ultra por delante del iPhone 17 Pro Max en el ranking mundial
Samsung lanza una nueva actualización del sistema con nuevas funciones para los usuarios del Galaxy Watch 4
El comercio minorista digital reduce el valor del teléfono inteligente Galaxy S25 5G con bonos bancarios e intercambio de dispositivos
El nuevo Resident Evil de Zach Cregger ignora los juegos y se centra en una historia inédita con nuevos personajes
Los rumores apuntan a que Nintendo está preparando una edición especial de Switch 2 con un remake de Ocarina of Time
Apple acelera la producción del iPhone 17e y desarrolla nuevo modelo Air con sistema de doble cámara
La plataforma Epic Games lanza doce juegos de alto presupuesto sin costo permanente para los usuarios de PC
La caída del precio de PlayStation 5 Pro acelera las ventas minoristas digitales y elimina las existencias globales
La nueva actualización del sistema Apple optimiza la gestión de tareas urgentes para los usuarios de iPhone
Filtración detalla el hardware de la nueva PlayStation portátil con gráficos superiores a la Xbox Series S
Oppo lanza oficialmente el Find X9 Ultra en todo el mundo con lentes Hasselblad y batería robusta
