Peneliti keamanan telah mengidentifikasi malware-as-a-service baru yang disebut CrystalX RAT. Program ini menggabungkan fungsi akses jarak jauh, pencurian informasi, penangkapan penekanan tombol, dan penggantian alamat mata uang kripto. Especialistas dan Kaspersky mendeteksi alat yang dipromosikan sejak Januari 2026 melalui saluran khusus di Telegram dan video demonstrasi di YouTube.
CrystalX RAT beroperasi dengan model berlangganan berjenjang yang memungkinkan siapa pun yang tertarik membeli akses dengan biaya tertentu. Platform ini mencakup panel kontrol dengan antarmuka sederhana dan pembuat yang dapat dieksekusi otomatis. Fitur Esse memudahkan penyesuaian malware untuk operasi yang berbeda.
- Pemblokiran geografis untuk membatasi target berdasarkan wilayah
- Mekanisme anti-debugging dan deteksi mesin virtual
- Verifikasi proxy dan teknik yang menghambat analisis
Opsi perlindungan investigasi ini memperluas daya tarik di antara operator dengan tingkat keterampilan teknis yang berbeda-beda.
Akses jarak jauh dan fitur mata-mata
Modul kendali jarak jauh memungkinkan Anda menjalankan perintah di penerjemah baris Windows, mengunggah dan mengunduh file, serta menelusuri sistem mesin yang terinfeksi. Operator juga dapat melihat layar secara real time melalui integrasi VNC.
Pengambilan audio dan video terjadi melalui mikrofon dan kamera perangkat. Durante akses bersama, panel menawarkan tombol untuk memblokir input pengguna, yang mencegah interupsi saat penyerang melakukan tindakan. Keylogger mencatat semua penekanan tombol dan mengirimkan data secara real time ke server perintah.
Infostealer CrystalX RAT berfokus pada browser berdasarkan Chromium, termasuk versi Chrome, serta Yandex dan Opera. Pemanenan meluas ke aplikasi seperti Steam, Discord dan Telegram. Modul pencurian kredensial saat ini dinonaktifkan sementara menunggu pembaruan di masa mendatang.
Mekanisme Clipper dan perlindungan data saat transit
Komponen clipper memonitor clipboard untuk pola alamat dompet cryptocurrency. Quando mendeteksi kecocokan, secara otomatis mengganti konten dengan data yang dikendalikan penyerang. Essa pertukaran terjadi tanpa korban menyadari adanya perubahan transfer.
Payload yang dihasilkan oleh pembuatnya dikompresi dengan zlib dan dienkripsi dengan algoritma ChaCha20. Komunikasi dengan server perintah dan kontrol menggunakan protokol WebSocket, yang memelihara koneksi persisten dan dua arah. Pada saat koneksi awal, malware mengirimkan rincian sistem yang terinfeksi untuk dilacak.
Fitur Prankware yang Membedakan CrystalX RAT
Rangkaian fungsi gangguan yang luas mewakili pembeda utama CrystalX RAT dari malware serupa lainnya yang tersedia di pasar. Operator dapat mengubah wallpaper desktop dan membalikkan orientasi layar. Tindakan Outras termasuk memetakan ulang tombol mouse, menonaktifkan sementara keyboard dan monitor, atau mematikan paksa komputer.
Panel ini memungkinkan Anda mengirim pesan yang membuka jendela dialog interaktif, memungkinkan obrolan langsung antara penyerang dan korban. Além Selain itu, dimungkinkan untuk menyembunyikan ikon desktop, bilah tugas, Gerenciador dan Prompt. Kursor mouse juga dapat dimanipulasi dari jarak jauh.
Fitur prankware ini berfungsi untuk menarik pembeli yang kurang berpengalaman dan mengalihkan perhatian pengguna saat modul lain beroperasi di latar belakang. Kombinasi trolling dan pencurian data menciptakan alat serbaguna untuk berbagai profil penjahat dunia maya.
Kemiripan dengan malware sebelumnya dan rebranding
Analis mencatat kesamaan yang kuat antara CrystalX RAT dan WebRAT, juga dikenal sebagai Salat Stealer. Ambos berbagi desain dasbor yang sama, kode yang dikembangkan dalam bahasa Go, dan sistem penjualan otomatis menggunakan bot. Após kritik tentang salinan, mereka yang bertanggung jawab melakukan perubahan pada identitas visual dan mengganti nama alat tersebut.
Promosi ini telah dipindahkan ke saluran baru di Telegram, yang mencakup hadiah kunci akses dan jajak pendapat untuk melibatkan publik. Paralelamente, saluran YouTube khusus menerbitkan video yang mendemonstrasikan fitur-fitur yang sedang beroperasi. Strategi Essa memperluas jangkauan melampaui lingkaran forum bawah tanah tradisional.
Distribusi dan jangkauan malware saat ini
Hingga saat ini, upaya infeksi yang teridentifikasi terutama terfokus pada Rússia. Namun, model malware-as-a-service tidak menerapkan batasan regional, yang memungkinkan CrystalX RAT menargetkan pengguna di negara mana pun. Pesquisadores belum merinci vektor infeksi pasti yang digunakan untuk mendistribusikan file yang dapat dieksekusi.
Tidak adanya informasi yang akurat mengenai cara penyampaian awal membuat sulit untuk segera mengembangkan tindakan pencegahan yang spesifik. Usuários harus selalu memperbarui sistem operasi dan aplikasi, selain mengadopsi solusi keamanan andal yang mendeteksi perilaku akses jarak jauh yang mencurigakan dan modifikasi yang tidak sah.
Detail Teknis Perlindungan Analisis
Pembuat otomatis ini menyertakan opsi anti-analisis tingkat lanjut yang meningkatkan risiko bagi peneliti keamanan. Entre Ini adalah patch tersembunyi yang melewati fungsi perlindungan sistem dan loop anti-attach yang mencegah proses debug. Essas Lapisan teknis melindungi malware selama distribusi dan eksekusi awal.
Protokol komunikasi yang persisten memfasilitasi pengiriman data yang dicuri secara terus-menerus tanpa perlu sering menyambungkan kembali. Arsitektur Essa berkontribusi pada pengoperasian yang stabil bahkan di lingkungan dengan konektivitas variabel.
CrystalX RAT menawarkan kepada operator seperangkat alat lengkap mulai dari kontrol alat berat secara penuh hingga mengekstraksi informasi sensitif secara diam-diam. Dimasukkannya fungsi gangguan visual dan interaktif menambah lapisan yang tidak biasa pada ekosistem malware komersial saat ini.