Phần mềm độc hại đặc trưng của CrystalX RAT đánh cắp dữ liệu và trêu đùa nạn nhân bị nhiễm bệnh

Các nhà nghiên cứu bảo mật đã xác định được một phần mềm độc hại dưới dạng dịch vụ mới có tên CrystalX RAT. Chương trình kết hợp các chức năng truy cập từ xa, đánh cắp thông tin, chụp tổ hợp phím và thay thế địa chỉ tiền điện tử. Các chuyên gia của Kaspersky đã phát hiện ra công cụ này được quảng bá từ tháng 1 năm 2026 thông qua các kênh chuyên dụng trên Telegram và các video trình diễn trên YouTube.

CrystalX RAT hoạt động với mô hình đăng ký theo cấp độ cho phép bất kỳ ai quan tâm mua quyền truy cập có tính phí. Nền tảng này bao gồm một bảng điều khiển với giao diện đơn giản và trình tạo thực thi tự động. Tính năng này giúp dễ dàng tùy chỉnh phần mềm độc hại cho các hoạt động khác nhau.

• Khóa địa lý để giới hạn mục tiêu theo khu vực
• Cơ chế chống gỡ lỗi và phát hiện máy ảo
• Xác minh các proxy và kỹ thuật cản trở việc phân tích

Các tùy chọn bảo vệ điều tra này mở rộng sự hấp dẫn giữa các nhà khai thác với trình độ kỹ năng kỹ thuật khác nhau.

Tính năng truy cập và gián điệp từ xa

Mô-đun điều khiển từ xa cho phép bạn thực thi các lệnh trong trình thông dịch dòng Windows, tải lên và tải xuống các tệp cũng như duyệt hệ thống của máy bị nhiễm. Người vận hành cũng có thể xem màn hình theo thời gian thực thông qua tích hợp VNC.

Việc ghi âm và quay video diễn ra thông qua micrô và camera của thiết bị. Trong quá trình truy cập được chia sẻ, bảng điều khiển cung cấp các nút để chặn đầu vào của người dùng, ngăn chặn sự gián đoạn trong khi kẻ tấn công thực hiện các hành động. Keylogger ghi lại tất cả các lần gõ phím và gửi dữ liệu theo thời gian thực đến máy chủ chỉ huy.

Công cụ đánh cắp thông tin CrystalX RAT tập trung vào các trình duyệt dựa trên Chrome, bao gồm các phiên bản Chrome, cũng như Yandex và Opera. Bộ sưu tập mở rộng sang các ứng dụng như Steam, Discord và Telegram. Hiện tại, mô-đun đánh cắp thông tin xác thực vẫn tạm thời bị vô hiệu hóa trong khi chờ cập nhật trong tương lai.

Cơ chế Clipper và bảo vệ dữ liệu trong quá trình vận chuyển

Thành phần clipper giám sát bảng nhớ tạm để tìm các mẫu địa chỉ ví tiền điện tử. Khi phát hiện sự trùng khớp, nó sẽ tự động thay thế nội dung bằng dữ liệu do kẻ tấn công kiểm soát. Việc trao đổi này diễn ra mà nạn nhân không nhận thấy sự thay đổi trong quá trình chuyển tiền.

Tải trọng do trình xây dựng tạo ra được nén bằng zlib và được mã hóa bằng thuật toán ChaCha20. Giao tiếp với máy chủ chỉ huy và điều khiển sử dụng giao thức WebSocket, giao thức này duy trì kết nối hai chiều và liên tục. Tại thời điểm kết nối ban đầu, phần mềm độc hại truyền thông tin chi tiết về hệ thống bị nhiễm để theo dõi.

Các tính năng của Prankware khiến CrystalX RAT trở nên khác biệt

Tập hợp các chức năng gián đoạn mở rộng thể hiện điểm khác biệt chính của CrystalX RAT với các phần mềm độc hại tương tự khác hiện có trên thị trường. Người vận hành có thể thay đổi hình nền máy tính và đảo ngược hướng màn hình. Các hành động khác bao gồm ánh xạ lại các nút chuột, tạm thời vô hiệu hóa bàn phím và màn hình hoặc buộc máy tính tắt.

Bảng điều khiển cho phép bạn gửi tin nhắn mở cửa sổ hộp thoại tương tác, cho phép trò chuyện trực tiếp giữa kẻ tấn công và nạn nhân. Ngoài ra, bạn có thể ẩn các biểu tượng trên màn hình, thanh tác vụ, Trình quản lý tác vụ và Dấu nhắc lệnh. Con trỏ chuột cũng có thể được thao tác từ xa.

Leia Tambem

Jovem herdeira britânica Orla Wates falece em grave acidente de moto no Vietnã durante ano sabático

Colby Minifie xác nhận sức mạnh của Ashley Barrett trong The Boys mùa thứ năm

Nghiên cứu tiết lộ cha mẹ không biết con mình sử dụng trí tuệ nhân tạo như thế nào

Các tính năng của phần mềm chơi khăm này vừa nhằm mục đích thu hút những người mua ít kinh nghiệm hơn vừa khiến người dùng mất tập trung trong khi các mô-đun khác hoạt động ở chế độ nền. Sự kết hợp giữa trolling và đánh cắp dữ liệu tạo ra một công cụ linh hoạt cho các hồ sơ tội phạm mạng khác nhau.

Điểm tương đồng với phần mềm độc hại trước đây và việc đổi thương hiệu

Các nhà phân tích lưu ý những điểm tương đồng mạnh mẽ giữa CrystalX RAT và WebRAT, còn được gọi là Salat Stealer. Cả hai đều có chung thiết kế bảng điều khiển, mã được phát triển bằng ngôn ngữ Go và hệ thống bán hàng tự động sử dụng bot. Sau những lời chỉ trích về bản sao, những người chịu trách nhiệm đã thực hiện các thay đổi về nhận dạng hình ảnh và đổi tên công cụ.

Chương trình khuyến mãi đã chuyển sang kênh Telegram mới, bao gồm quyền truy cập vào các quà tặng quan trọng và các cuộc thăm dò ý kiến ​​để thu hút công chúng. Đồng thời, kênh YouTube chuyên dụng đăng tải các video minh họa các chức năng đang hoạt động. Chiến lược này mở rộng phạm vi tiếp cận ra ngoài giới diễn đàn ngầm truyền thống.

Sự phân bố hiện tại và phạm vi tiếp cận của phần mềm độc hại

Cho đến nay, các nỗ lực lây nhiễm được xác định chủ yếu tập trung ở Nga. Tuy nhiên, mô hình phần mềm độc hại dưới dạng dịch vụ không áp đặt các hạn chế theo khu vực, điều này cho phép CrystalX RAT nhắm mục tiêu đến người dùng ở bất kỳ quốc gia nào. Các nhà nghiên cứu vẫn chưa trình bày chi tiết về vectơ lây nhiễm chính xác được sử dụng để phân phối tệp thực thi.

Việc thiếu thông tin chính xác về phương thức phân phối ban đầu khiến việc phát triển ngay các biện pháp phòng ngừa cụ thể trở nên khó khăn. Người dùng phải luôn cập nhật hệ điều hành và ứng dụng, bên cạnh việc áp dụng các giải pháp bảo mật đáng tin cậy để phát hiện hành vi truy cập từ xa đáng ngờ và các sửa đổi trái phép.

Chi tiết kỹ thuật bảo vệ phân tích

Trình xây dựng tự động bao gồm các tùy chọn chống phân tích nâng cao giúp nâng cao trách nhiệm cho các nhà nghiên cứu bảo mật. Chúng bao gồm các bản vá ẩn giúp bỏ qua các chức năng bảo vệ hệ thống và các vòng lặp chống đính kèm nhằm ngăn chặn việc gỡ lỗi. Các lớp kỹ thuật này bảo vệ phần mềm độc hại trong quá trình phân phối và thực thi ban đầu.

Giao thức liên lạc liên tục tạo điều kiện cho việc gửi dữ liệu bị đánh cắp liên tục mà không cần kết nối lại thường xuyên. Kiến trúc này góp phần vận hành ổn định ngay cả trong môi trường có khả năng kết nối đa dạng.

CrystalX RAT cung cấp cho người vận hành một bộ công cụ hoàn chỉnh, từ điều khiển toàn bộ máy đến trích xuất thông tin nhạy cảm một cách âm thầm. Việc đưa vào các chức năng gián đoạn trực quan và tương tác sẽ tạo thêm một lớp bất thường cho hệ sinh thái phần mềm độc hại thương mại hiện tại.