Исследователи информационной безопасности составили карту работы новой платформы киберпреступности, классифицированной как вредоносное ПО как услуга. Программа под названием CrystalX RAT объединяет инструменты для удаленного управления устройствами, автоматического извлечения учетных данных и замены адресов финансовых транзакций. Специалисты компании Касперского отследили коммерциализацию инструмента, который набирает обороты на подпольном рынке с января 2026 года через структурированные каналы продаж в Telegram и видеодемонстрации, опубликованные на YouTube.
Принятая разработчиками бизнес-модель позволяет лицам с разным уровнем технических знаний арендовать вредоносную инфраструктуру, оплачивая подписки, разделенные на категории. Платформа предоставляет покупателям панель управления на основе упрощенного навигационного интерфейса, сопровождаемую автоматическим сборщиком исполняемых файлов. Эта централизованная архитектура позволяет легко настраивать атакующий код для целевых атак на конкретные цели.
Архитектура дистанционного управления и мониторинг системы
Основной модуль удаленного доступа предоставляет оператору практически полный контроль над зараженной машиной. Инструмент позволяет напрямую выполнять команды в интерпретаторе строк Windows, что дает возможность изменять глубокие настройки операционной системы. Злоумышленники могут загружать новые вредоносные полезные данные и загружать конфиденциальные документы, свободно просматривая каталоги жесткого диска. Интеграция с протоколом VNC гарантирует просмотр экрана пользователя в режиме реального времени.
Шпионаж направлен на захват физических носителей, подключенных к компьютеру. Программа активирует микрофон и камеру устройства для записи аудио и видео окружающей среды без срабатывания световых индикаторов. Во время сеансов общего доступа на панели администрирования имеются кнопки блокировки, которые парализуют физический ввод пользователя. Функция не позволяет жертве прерывать действия злоумышленника при попытке использовать мышь или клавиатуру. Встроенный кейлоггер записывает все нажатия клавиш и передает отчеты о нажатиях клавиш на командный сервер.
Фокус на браузерах и замене виртуальных кошельков
Платформа для кражи информации CrystalX RAT направляет свои усилия на извлечение данных, хранящихся в браузерах, на основе проекта Chromium. В список приоритетных целей вошли последние версии Chrome, а также Яндекс и Opera. Процесс сбора данных выходит за рамки браузеров и достигает файлов сеансов коммуникационных и развлекательных приложений, таких как Steam, Discord и Telegram. Специальный модуль для массового извлечения паролей временно деактивирован разработчиками, которые обещают активировать его в будущих обновлениях кода.
Компонент, известный как клиппер, постоянно отслеживает буфер обмена операционной системы. Основная цель этой функции — идентифицировать текстовые шаблоны, соответствующие адресам криптовалютных кошельков. Как только программа обнаруживает совместимую последовательность в процессе копирования, она автоматически заменяет ее кошельком, контролируемым злоумышленником. Жертва завершает финансовую транзакцию, не замечая изменения данных, вставленных в поле назначения.
Чтобы обеспечить безопасность украденной информации при ее передаче на серверы управления, разработчики реализовали надежные уровни шифрования. Полезные данные, генерируемые панелью управления, подвергаются сжатию с помощью библиотеки zlib и защищаются алгоритмом ChaCha20. Связь между зараженной машиной и сервером происходит по протоколу WebSocket. Этот технический выбор устанавливает двунаправленное и постоянное соединение, что исключает необходимость постоянных переподключений и гарантирует стабильность даже в сетях с колебаниями сигнала. Во время первоначального заражения вредоносная программа передает полную информацию об оборудовании для отслеживания.
Инструменты визуального разрушения и прямое взаимодействие
Отличие CrystalX RAT от подпольного рынка заключается в интеграции огромного набора инструментов для разрушения, технически классифицируемых как программы-шалости. Операторы получают возможность мгновенно менять обои рабочего стола и менять ориентацию монитора. Панель управления также предлагает команды для переназначения кнопок мыши, временного отключения работы клавиатуры и принудительного выключения компьютера. Эти действия немедленно вызывают путаницу в рабочей среде пользователя.
Платформа позволяет отправлять текстовые сообщения, которые открывают интерактивные диалоговые окна на экране взломанной машины. Эта функция устанавливает прямой незапрошенный канал чата между злоумышленником и жертвой. Оператор имеет разрешения скрывать значки на рабочем столе, удалять панель задач с экрана и блокировать открытие диспетчера задач и командной строки. Курсор мыши также подвергается удаленным манипуляциям, автономно перемещаясь по экрану.
Наличие этих функций троллинга служит двум стратегическим целям в коммерциализации программного обеспечения. Первый предполагает привлечение покупателей с менее техническим профилем, которые ищут инструменты для виртуального преследования или демонстрации силы. Вторая цель носит тактический характер, поскольку визуальные помехи служат дымовой завесой. Беспорядок, создаваемый в интерфейсе, отвлекает пользователя, в то время как модули кражи файлов и извлечения данных работают в фоновом режиме.
Механизмы уклонения и коммерциализации на платформах
Эксперты по кибербезопасности выявили глубокие структурные сходства между новой угрозой и предыдущей вредоносной программой, известной на рынке как WebRAT или Salat Stealer. Оба инструмента имеют одинаковый дизайн интерфейса в панели администрирования и используют исходный код, разработанный на языке программирования Go. Автоматизированная система продаж, управляемая через ботов, также работает по той же схеме. Получив критику на подпольных форумах по поводу копирования кода, разработчики изменили визуальную идентичность и приняли новое название компании.
Маркетинговая стратегия перешла от малоизвестных платформ к широкомасштабным сетям. Создатели ведут действующий канал в Telegram, где проводят бесплатные раздачи лицензионных ключей и публикуют опросы, чтобы привлечь заинтересованных преступников. Параллельный канал на YouTube служит технической витриной с видеороликами, демонстрирующими эффективность функций вторжения в контролируемых средах. Автоматический сборщик исполняемых файлов вредоносной программы предоставляет расширенные функции, усложняющие работу антивирусных компаний. Варианты защиты включают в себя:
- Реализована геоблокировка, позволяющая ограничить выполнение кода определенными регионами земного шара.
- Интеграция антиотладочных механизмов, останавливающих технический анализ поведения программного обеспечения.
- Системы обнаружения виртуальных машин для предотвращения работы в лабораторных средах безопасности.
- Непрерывное сканирование прокси-серверов и применение скрытых исправлений, обходящих встроенную защиту системы.
Эти уровни обфускации защищают вредоносный файл на критическом этапе распространения и в первые несколько секунд выполнения на компьютере жертвы. Технический барьер увеличивает коммерческую ценность продукта среди операторов, которым требуются скрытые инструменты для длительных кампаний.
Векторы атак и сценарий глобального распространения
Текущие данные телеметрии показывают, что попытки заражения в основном сосредоточены на территории России. Однако бизнес-модель, принятая создателями, не устанавливает четких географических ограничений для покупателей лицензий. Эта коммерческая функция позволяет CrystalX RAT получать доступ к компьютерам в любой стране, в зависимости только от конкретных целей каждого оператора, приобретающего услугу. Исследователи все еще работают над картированием первоначального вектора заражения, который использовался в последних кампаниях.
Отсутствие ясности относительно точного способа доставки исполняемого файла требует повышенного внимания со стороны администраторов корпоративных сетей и домашних пользователей. Стандартные технические рекомендации включают постоянное обновление операционных систем и повседневных приложений с помощью новейших пакетов безопасности. Внедрение передовых решений для мониторинга помогает выявлять аномальное поведение, такое как попытки несанкционированного удаленного доступа и незаметное изменение важных системных записей.