Pesquisadores з інформаційної безпеки відобразив роботу нової платформи кіберзлочинності, класифікованої як зловмисне програмне забезпечення як послуга. Програма під назвою CrystalX RAT інтегрує інструменти для віддаленого керування пристроєм, тихого вилучення облікових даних і заміни адрес фінансових транзакцій. Especialistas від компанії Kaspersky відслідковував комерціалізацію інструменту, який набирає обертів на підпільному ринку з січня 2026 року через канали продажів, структуровані в Telegram, і відеодемонстрації, опубліковані на YouTube.
Бізнес-модель, прийнята розробниками, дозволяє особам з різним рівнем технічних знань орендувати шкідливу інфраструктуру, сплачуючи підписки, розділені на категорії. Платформа надає покупцям панель керування на основі спрощеного інтерфейсу навігації, що супроводжується автоматичним конструктором виконуваних файлів. Централізована архітектура Essa полегшує налаштування коду зловмисника для цілеспрямованих кампаній атак на конкретні цілі.
Arquitetura дистанційне керування та моніторинг системи
Основний модуль віддаленого доступу надає оператору майже повний контроль над зараженою машиною. Інструмент дозволяє безпосередньо виконувати команди в рядковому інтерпретаторі Windows, що дає можливість змінювати глибокі налаштування операційної системи. Зловмисники можуть завантажувати нові шкідливі файли та завантажувати конфіденційні документи під час вільного перегляду каталогів жорсткого диска. Інтеграція з протоколом VNC гарантує перегляд екрану користувача в реальному часі.
Шпигунство спрямоване на захоплення фізичних носіїв, підключених до комп’ютера. Програма активує мікрофон і камеру пристрою для запису аудіо та відео навколишнього середовища без включення робочих світлових індикаторів. Durante сеанси спільного доступу, панель адміністрування містить кнопки блокування, які паралізують фізичні введення користувача. Функція не дозволяє жертві переривати дії кіберзлочинця при спробі скористатися мишею або клавіатурою. Вбудований кейлоггер записує всі натискання клавіш і передає звіти про натискання клавіш на командний сервер.
Foco в браузерах і заміна віртуальних гаманців
Фреймворк крадіжки інформації CrystalX RAT спрямовує свої зусилля на вилучення даних, що зберігаються в браузерах, на основі проекту Chromium. Список пріоритетних цілей включає останні версії Chrome, а також Yandex і Opera. Процес збору даних виходить за рамки браузерів і охоплює файли сеансів комунікаційних і розважальних програм, таких як Steam, Discord і Telegram. Спеціальний модуль для масового вилучення паролів тимчасово деактивовано розробниками, які обіцяють повторно активувати його під час майбутніх оновлень коду.
Компонент, відомий як кліпер, безшумно відстежує буфер обміну операційної системи. Головне завдання цієї функції — визначити текстові шаблони, які відповідають адресам гаманців криптовалюти. Програмне забезпечення Assim виявляє сумісну послідовність під час процесу копіювання та автоматично замінює її гаманцем, яким керує зловмисник. Жертва завершує фінансову операцію, не помічаючи зміни даних, вставлених у поле призначення.
Para Щоб забезпечити безпеку викраденої інформації під час передачі на сервери керування, розробники реалізували надійні рівні шифрування. Корисні дані, створені панеллю керування, проходять процес стиснення за допомогою бібліотеки zlib і захищені алгоритмом ChaCha20. Зв’язок між зараженою машиною та сервером відбувається через протокол WebSocket. Технічний вибір Essa встановлює двонаправлене і постійне з’єднання, яке усуває необхідність постійних повторних підключень і гарантує стабільність навіть у мережах з коливаннями сигналу. Під час первинного зараження зловмисне програмне забезпечення передає повну інвентаризацію обладнання для відстеження.
Порушення зору Ferramentas і прямі взаємодії
Відмінність CrystalX RAT на підпільному ринку полягає в інтеграції величезного набору інструментів для зриву, технічно класифікованих як програмне забезпечення для жартів. Оператори отримують можливість миттєво змінювати шпалери робочого столу та змінювати орієнтацію монітора. Панель керування також пропонує команди для зміни призначення кнопок миші, тимчасового вимкнення роботи клавіатури та примусового раптового вимкнення комп’ютера. Дії Essas викликають негайну плутанину на робочому столі користувача.
Платформа дозволяє надсилати текстові повідомлення, які відкривають інтерактивні діалогові вікна на екрані скомпрометованої машини. Ця функція встановлює прямий незапрошений канал чату між зловмисником і жертвою. Оператор має дозволи приховувати значки на робочому столі, видаляти панель завдань з екрана та блокувати відкриття Gerenciador з Tarefas і Prompt з Comando. Курсор миші також піддається дистанційному маніпулюванню, автономно переміщаючись по екрану.
Наявність цих функцій тролінгу служить двом стратегічним цілям у комерціалізації програмного забезпечення. Перший передбачає залучення покупців менш технічного профілю, які шукають інструменти для віртуального переслідування або демонстрації сили. Друге призначення має тактичний характер, оскільки димовою завісою є зорові завади. Безлад, що створюється в інтерфейсі, відволікає користувача, тоді як модулі крадіжки файлів і вилучення даних працюють у фоновому режимі.
Mecanismos ухилення та комерціалізації на платформах
Especialistas у сфері кібербезпеки виявив глибоку структурну подібність між новою загрозою та попередньою шкідливою програмою, відомою на ринку як WebRAT або Salat Stealer. Інструменти Ambas мають однаковий дизайн інтерфейсу панелі адміністратора та використовують вихідний код, розроблений мовою програмування Go. Автоматизована система продажів, яка працює через ботів, також працює за тією ж схемою. Após отримав критику на таємних форумах через копіювання коду, розробники провели редизайн візуальної ідентичності та прийняли нову комерційну назву.
Маркетингова стратегія перекочувала з незрозумілих платформ до широкомасштабних мереж. Творці ведуть активний канал на Telegram, де роздають безкоштовні ліцензійні ключі та публікують опитування, щоб зацікавити зацікавлених злочинців. Паралельний канал на YouTube служить технічною демонстрацією з відео, які демонструють ефективність функцій вторгнення в контрольоване середовище. Автоматичний конструктор виконуваних файлів шкідливої програми надає розширені функції, щоб ускладнити роботу антивірусних компаній. Варіанти захисту включають:
- Геоблокування Implementação для обмеження виконання коду в певних регіонах земної кулі.
- Integração механізмів захисту від налагодження, які зупиняють технічний аналіз поведінки програмного забезпечення.
- Виявлення віртуальної машини Sistemas для запобігання виконанню в середовищах лабораторії безпеки.
- Verificação постійно проксі-сервер і застосовує стелс-патчі, які обходять внутрішній захист системи.
Рівні обфускації Essas захищають шкідливий файл під час критичної фази розповсюдження та перших кількох секунд виконання на комп’ютері жертви. Технічний бар’єр підвищує комерційну цінність продукту серед операторів, які потребують стелс-інструментів для тривалих кампаній.
Сценарій атаки Vetores і глобального поширення
Поточні дані телеметрії свідчать про те, що спроби зараження здебільшого зосереджені на території Rússia. Однак бізнес-модель, прийнята творцями, не встановлює остаточних географічних обмежень для покупців ліцензій. Комерційна функція Essa дозволяє CrystalX RAT охоплювати комп’ютери в будь-якій країні, залежно лише від конкретних цілей кожного оператора, який купує послугу. Дослідники все ще працюють над картою первинного вектора інфекції, який використовувався в останніх кампаніях.
Відсутність ясності щодо точного способу доставки виконуваного файлу вимагає підвищеної уваги адміністраторів корпоративних мереж і домашніх користувачів. Стандартна технічна консультація передбачає постійне оновлення операційних систем і повсякденних програм за допомогою найновіших пакетів безпеки. Застосування розширених рішень моніторингу допомагає виявляти аномальну поведінку, наприклад спроби несанкціонованого віддаленого доступу та тихі зміни критичних системних записів.