Pesquisadores от информационната сигурност са картографирали работата на нова платформа за киберпрестъпления, класифицирана като зловреден софтуер като услуга. Програмата, наречена CrystalX RAT, интегрира инструменти за отдалечен контрол на устройството, тихо извличане на идентификационни данни и подмяна на адреси на финансови транзакции. Especialistas от компанията Kaspersky проследи комерсиализацията на инструмента, който набира сила на подземния пазар от януари 2026 г. чрез канали за продажба, структурирани в Telegram, и видео демонстрации, публикувани в YouTube.
Бизнес моделът, възприет от разработчиците, позволява на лица с различни нива на технически познания да наемат злонамерената инфраструктура, като плащат абонаменти, разделени на категории. Платформата предоставя на купувачите контролен панел, базиран на опростен интерфейс за навигация, придружен от автоматичен създател на изпълними файлове. Централизираната архитектура на Essa улеснява персонализирането на кода на атакуващия за насочени кампании за атака срещу конкретни цели.
Arquitetura дистанционно управление и мониторинг на системата
Основният модул за отдалечен достъп предоставя на оператора почти пълен контрол над заразената машина. Инструментът позволява директно изпълнение на команди в линейния интерпретатор Windows, което прави възможно промяната на дълбоки настройки на операционната система. Нападателите могат да качват нови злонамерени полезни товари и да изтеглят чувствителни документи, докато преглеждат свободно директориите на твърдия диск. Интеграцията с VNC протокола гарантира гледане на екрана на потребителя в реално време.
Шпионажът се насочва към улавяне на физически носители, свързани към компютъра. Програмата активира микрофона и камерата на устройството, за да записва аудио и видео от околната среда, без да задейства работещи светлинни индикатори. Durante сесии за споделен достъп, административният панел предоставя блокиращи бутони, които парализират физическите входове на потребителя. Функцията не позволява на жертвата да прекъсва действията на киберпрестъпника, когато се опитва да използва мишката или клавиатурата. Вграденият keylogger записва всички натискания на клавиши и предава отчети за натискане на клавиши на командния сървър.
Foco в браузъри и замяна на виртуални портфейли
Рамката за кражба на информация CrystalX RAT насочва усилията си към извличане на данни, съхранявани в браузъри, базирани на проекта Chromium. Списъкът с приоритетни цели включва последните версии на Chrome, както и Yandex и Opera. Процесът на събиране на данни надхвърля браузърите и достига до файловете на сесиите на комуникационни и развлекателни приложения като Steam, Discord и Telegram. Специфичният модул за масово извличане на пароли е временно деактивиран от разработчиците, които обещават да го активират отново при бъдещи актуализации на кода.
Компонентът, известен като клипборд, действа безшумно, за да наблюдава непрекъснато клипборда на операционната система. Основната цел на тази функция е да идентифицира текстови модели, които съответстват на адресите на портфейла за криптовалута. Софтуерът Assim открива съвместима последователност по време на процес на копиране и автоматично я заменя с портфейла, контролиран от нападателя. Жертвата завършва финансовата транзакция, без да забележи промяната в данните, поставени в полето за местоназначение.
Para За да осигурят сигурността на открадната информация по време на прехвърляне към командни и контролни сървъри, разработчиците внедриха стабилни слоеве на криптиране. Полезните товари, генерирани от контролния панел, преминават процес на компресиране с библиотеката zlib и са защитени от алгоритъма ChaCha20. Комуникацията между заразената машина и сървъра се осъществява чрез протокола WebSocket. Техническият избор на Essa установява двупосочна и постоянна връзка, която елиминира необходимостта от постоянни повторни връзки и гарантира стабилност дори в мрежи с колебания на сигнала. По време на първоначалното заразяване злонамереният софтуер предава пълна инвентаризация на хардуера за целите на проследяването.
Зрителни смущения Ferramentas и директни взаимодействия
Разликата на CrystalX RAT в подземния пазар се крие в интегрирането на огромен набор от инструменти за прекъсване, технически класифицирани като софтуер за шега. Операторите получават възможността незабавно да променят тапета на работния плот и да обръщат ориентацията на дисплея на монитора. Контролният панел също предлага команди за пренасочване на бутоните на мишката, временно деактивиране на работата на клавиатурата и принудително внезапно изключване на компютъра. Действията на Essas предизвикват незабавно объркване на работния плот на потребителя.
Платформата дава възможност за изпращане на текстови съобщения, които отварят интерактивни диалогови прозорци на екрана на компрометираната машина. Функцията установява директен, нежелан чат канал между нападателя и жертвата. Операторът има разрешения да скрие иконите на работния плот, да премахне лентата на задачите от екрана и да блокира отварянето на Gerenciador от Tarefas и Prompt от Comando. Курсорът на мишката също се подлага на дистанционно манипулиране, като се движи автономно по екрана.
Наличието на тези тролинг функции служи на две стратегически цели при комерсиализацията на софтуера. Първият включва привличане на купувачи с по-малко технически профил, които търсят инструменти за виртуален тормоз или демонстрация на сила. Второто предназначение има тактически характер, тъй като зрителните смущения служат като димна завеса. Безпорядъкът, генериран в интерфейса, разсейва потребителя, докато модулите за кражба на файлове и извличане на данни работят във фонов режим.
Mecanismos на укриване и комерсиализация на платформи
Especialistas в областта на киберсигурността идентифицира дълбоки структурни прилики между новата заплаха и предишна злонамерена програма, известна на пазара като WebRAT или Salat Stealer. Инструментите Ambas споделят същия дизайн на интерфейса в административния панел и използват изходния код, разработен на програмния език Go. Автоматизираната система за продажби, управлявана чрез ботове, също следва същия модел на работа. Após получи критики в нелегални форуми за копиране на кода, разработчиците извършиха редизайн на визуалната идентичност и приеха новото търговско име.
Маркетинговата стратегия е мигрирала от неясни платформи към широкообхватни мрежи. Създателите поддържат активен канал на Telegram, където хостват безплатни раздавания на лицензни ключове и публикуват анкети, за да ангажират заинтересованите престъпници. Паралелен канал в YouTube служи като техническа витрина с видеоклипове, които демонстрират ефективността на функциите за нахлуване в контролирани среди. Автоматичният изпълним конструктор на злонамерената програма предоставя разширени функции, за да затрудни работата на антивирусните компании. Опциите за защита включват:
- Геоблокиране на Implementação за ограничаване на изпълнението на код до определени региони на земното кълбо.
- Integração на механизми за отстраняване на грешки, които спират техническия анализ на поведението на софтуера.
- Sistemas откриване на виртуална машина за предотвратяване на изпълнение в среди на лаборатория за сигурност.
- Verificação непрекъснато прокси и прилага стелт пачове, които заобикалят собствените защити на системата.
Essas обфускационните слоеве защитават злонамерения файл по време на критичната фаза на разпространение и първите няколко секунди от изпълнението на машината на жертвата. Техническата бариера увеличава търговската стойност на продукта сред операторите, които изискват стелт инструменти за продължителни кампании.
Vetores атака и сценарий за глобално разпространение
Текущите телеметрични записи показват, че опитите за заразяване са концентрирани най-вече на територията на Rússia. Бизнес моделът, възприет от създателите обаче, не установява окончателни географски ограничения за купувачите на лицензи. Търговската функция на Essa позволява на CrystalX RAT да достигне до компютри във всяка страна, в зависимост само от конкретните цели на всеки оператор, закупуващ услугата. Изследователите все още работят, за да картографират първоначалния вектор на инфекцията, използван в най-новите кампании.
Липсата на яснота по отношение на точния метод на доставка на изпълнимия файл изисква повишено внимание от администраторите на корпоративната мрежа и домашните потребители. Стандартните технически съвети включват поддържане на операционните системи и ежедневните приложения винаги актуални с най-новите пакети за сигурност. Приемането на усъвършенствани решения за наблюдение помага за идентифициране на аномално поведение, като опити за неоторизиран отдалечен достъп и тихи модификации на критични системни записи.