Bezpečnostní výzkumníci identifikovali nový malware-as-a-service s názvem CrystalX RAT. Program kombinuje funkce vzdáleného přístupu, krádeže informací, zachycení stisku kláves a nahrazení adresy kryptoměny. Especialistas a Kaspersky detekovaly nástroj propagovaný od ledna 2026 prostřednictvím vyhrazených kanálů na čísle Telegram a ukázkových videí na YouTube.
CrystalX RAT pracuje s modelem odstupňovaného předplatného, který umožňuje každému zájemci zakoupit si přístup za poplatek. Platforma obsahuje ovládací panel s jednoduchým rozhraním a automatickým spustitelným builderem. Funkce Esse usnadňuje přizpůsobení malwaru pro různé operace.
- Geoblokování pro omezení cílů podle regionu
- Anti-debugging mechanismy a detekce virtuálních strojů
- Ověřování proxy a technik, které brání analýze
Tyto možnosti ochrany vyšetřování rozšiřují přitažlivost mezi operátory s různou úrovní technických dovedností.
Vzdálený přístup a funkce špionáže
Modul dálkového ovládání umožňuje spouštět příkazy v interpretu řádků Windows, nahrávat a stahovat soubory a procházet systém infikovaného počítače. Operátoři mohou také sledovat obrazovku v reálném čase prostřednictvím integrace VNC.
Snímání zvuku a videa probíhá prostřednictvím mikrofonu a kamery zařízení. Durante sdílený přístup, panel nabízí tlačítka pro blokování vstupu uživatele, což zabraňuje přerušení, když útočník provádí akce. Keylogger zaznamenává všechny úhozy a odesílá data v reálném čase na příkazový server.
CrystalX RAT infostealer se zaměřuje na prohlížeče založené na Chromium, včetně verzí Chrome, stejně jako Yandex a Opera. Sklizeň se vztahuje na aplikace, jako jsou 876543276545 a 891235 Telegram. Modul krádeže pověření je aktuálně dočasně deaktivován a čeká na budoucí aktualizace.
Mechanismus Clipper a ochrana dat při přenosu
Komponenta clipper monitoruje schránku pro vzory adres kryptoměnové peněženky. Quando detekuje shodu, automaticky nahradí obsah daty kontrolovanými útočníky. Essa dojde k výměně, aniž by si oběť všimla změny v převodu.
Užitná zatížení generovaná tvůrcem jsou komprimována pomocí zlib a šifrována pomocí algoritmu ChaCha20. Komunikace s příkazovým a řídicím serverem využívá protokol WebSocket, který udržuje trvalé a obousměrné spojení. V okamžiku počátečního připojení malware předá podrobnosti o infikovaném systému ke sledování.
Funkce žertovného softwaru, které odlišují CrystalX RAT
Rozsáhlá sada funkcí narušení představuje hlavní odlišení CrystalX RAT od jiných podobných malwarů dostupných na trhu. Operátoři mohou změnit tapetu plochy a obrátit orientaci obrazovky. Mezi akce Outras patří přemapování tlačítek myši, dočasné vypnutí klávesnice a monitoru nebo vynucení vypnutí počítače.
Panel umožňuje odesílat zprávy, které otevírají interaktivní dialogové okno, umožňující přímý chat mezi útočníkem a obětí. Além Navíc je možné skrýt ikony na ploše, hlavní panel, Gerenciador a Prompt. Kurzor myši lze také ovládat vzdáleně.
Tyto žertovné funkce slouží jak k přilákání méně zkušených kupujících, tak k rozptýlení pozornosti uživatele, zatímco ostatní moduly pracují na pozadí. Kombinace trollingu a krádeže dat vytváří všestranný nástroj pro různé profily kyberzločinců.
Podobnosti s předchozím malwarem a rebrandingem
Analytici zaznamenali silnou podobnost mezi CrystalX RAT a WebRAT, také známými jako Salat Stealer. Ambos sdílí stejný design řídicího panelu, kód vyvinutý v jazyce Go a automatizovaný prodejní systém využívající roboty. Após kritiku kopie, odpovědní pracovníci provedli změny vizuální identity a přejmenovali nástroj.
Propagační akce se přesunula na nový kanál na čísle Telegram, který zahrnuje dárky s přístupovými klíči a ankety pro zapojení veřejnosti. Paralelamente, vyhrazený kanál YouTube publikuje videa, která demonstrují funkce v provozu. Strategie Essa rozšiřuje dosah mimo tradiční kruhy podzemního fóra.
Aktuální distribuce a dosah malwaru
K dnešnímu dni se identifikované pokusy o infekci zaměřují hlavně na Rússia. Model malware-as-a-service však neukládá regionální omezení, což umožňuje CrystalX RAT cílit na uživatele v jakékoli zemi. Pesquisadores ještě neuvedl přesný vektor infekce použitý k distribuci spustitelného souboru.
Absence přesných informací o počátečním způsobu dodání ztěžuje okamžité vypracování konkrétních preventivních opatření. Usuários musí udržovat operační systémy a aplikace aktuální, kromě přijímání spolehlivých bezpečnostních řešení, která detekují podezřelé chování vzdáleného přístupu a neoprávněné úpravy.
Analýza ochrany Technické detaily
Automatický stavitel obsahuje pokročilé možnosti antianalýzy, které zvyšují sázky pro bezpečnostní výzkumníky. Entre Jsou to záplaty utajení, které obcházejí funkce ochrany systému a smyčky proti připojení, které zabraňují ladění. Essas Technické vrstvy chrání malware během distribuce a počátečního spuštění.
Perzistentní komunikační protokol umožňuje nepřetržité odesílání odcizených dat bez nutnosti častého připojování. Architektura Essa přispívá ke stabilnímu provozu i v prostředích s variabilní konektivitou.
CrystalX RAT nabízí operátorům kompletní sadu nástrojů od úplného ovládání stroje až po tiché získávání citlivých informací. Zahrnutí funkcí vizuálního a interaktivního narušení přidává do současného komerčního malwarového ekosystému neobvyklou vrstvu.