חוקרי אבטחת מידע מיפו את פעולתה של פלטפורמת פשעי סייבר חדשה המסווגת כתוכנה זדונית כשירות. התוכנית, הנקראת CrystalX RAT, משלבת כלים לשליטה מרחוק במכשירים, חילוץ שקט של אישורים והחלפת כתובות עסקאות פיננסיות. מומחי חברת קספרסקי עקבו אחר מסחור הכלי, שצובר תאוצה בשוק המחתרתי מאז ינואר 2026 באמצעות ערוצי מכירה מובנים בטלגרם והדגמות וידאו שפורסמו ביוטיוב.
המודל העסקי שאומץ על ידי המפתחים מאפשר לאנשים בעלי רמות שונות של ידע טכני לשכור את התשתית הזדונית על ידי תשלום מנויים המחולקים לקטגוריות. הפלטפורמה מספקת לרוכשים לוח בקרה המבוסס על ממשק ניווט פשוט, מלווה בבונה אוטומטי של קבצי הפעלה. ארכיטקטורה מרכזית זו מקלה על התאמה אישית של קוד תוקף עבור מסעות פרסום ממוקדים נגד מטרות ספציפיות.
ארכיטקטורת שלט רחוק וניטור מערכת
מודול הגישה מרחוק הראשי מעניק למפעיל שליטה כמעט מלאה על המכונה הנגועה. הכלי מאפשר ביצוע ישיר של פקודות במפרש השורות של Windows, מה שמאפשר לשנות הגדרות עמוקות של מערכת ההפעלה. תוקפים יכולים להעלות מטענים זדוניים חדשים ולהוריד מסמכים רגישים תוך גלישה חופשית בספריות הכונן הקשיח. שילוב עם פרוטוקול VNC מבטיח צפייה במסך המשתמש בזמן אמת.
הריגול נע לעבר לכידת מדיה פיזית המחוברת למחשב. התוכנית מפעילה את המיקרופון והמצלמה של המכשיר כדי להקליט אודיו ווידאו של הסביבה מבלי להפעיל מחווני אור הפעלה. במהלך הפעלות גישה משותפת, פאנל הניהול מספק כפתורי חסימה המשתקים את הקלט הפיזי של המשתמש. התכונה מונעת מהקורבן להפריע לפעולותיו של פושע הסייבר בעת ניסיון להשתמש בעכבר או במקלדת. לוח מקשים מובנה מתעד את כל ההקשות ומשדר דוחות הקשות לשרת הפקודות.
התמקדות בדפדפנים והחלפת ארנקים וירטואליים
מסגרת גניבת המידע CrystalX RAT מכוונת את מאמציה לחילוץ נתונים המאוחסנים בדפדפנים המבוססים על פרויקט Chromium. רשימת יעדי העדיפות כוללת גרסאות עדכניות של Chrome, כמו גם Yandex ו-Opera. תהליך איסוף הנתונים חורג מהדפדפנים ומגיע לקובצי ההפעלה של יישומי תקשורת ובידור, כגון Steam, Discord ו-Telegram. המודול הספציפי לחילוץ סיסמאות מסיבי מושבת באופן זמני על ידי המפתחים, שמבטיחים להפעיל אותו מחדש בעדכוני קוד עתידיים.
הרכיב המכונה clipper פועל בשקט כדי לנטר ברציפות את לוח הלוח של מערכת ההפעלה. המטרה המרכזית של פונקציה זו היא לזהות דפוסי טקסט התואמים לכתובות של ארנק קריפטו. ברגע שהתוכנה מזהה רצף תואם במהלך תהליך העתקה, היא מחליפה אותו אוטומטית בארנק הנשלט על ידי התוקף. הנפגע משלים את העסקה הפיננסית מבלי לשים לב לשינוי בנתונים שהודבקו בשדה היעד.
כדי להבטיח את האבטחה של מידע גנוב במהלך המעבר לשרתי פיקוד ובקרה, מפתחים יישמו שכבות חזקות של הצפנה. המטענים הנוצרים על ידי לוח הבקרה עוברים תהליך דחיסה עם ספריית zlib ומוגנים על ידי האלגוריתם ChaCha20. התקשורת בין המחשב הנגוע לשרת מתרחשת באמצעות פרוטוקול WebSocket. בחירה טכנית זו מייצרת חיבור דו-כיווני ומתמשך, מה שמייתר את הצורך בחיבורים מתמידים ומבטיח יציבות גם ברשתות עם תנודות אות. בזמן ההדבקה הראשונית, התוכנה הזדונית משדרת מלאי חומרה מלא למטרות מעקב.
כלים לשיבוש חזותי ואינטראקציות ישירות
ההבדל של CrystalX RAT בשוק המחתרתי טמון באינטגרציה של מערך עצום של כלי שיבוש, המסווגים מבחינה טכנית כתוכנות קונדס. מפעילים מקבלים את היכולת לשנות את טפט שולחן העבודה ולהפוך את כיוון התצוגה של הצג באופן מיידי. לוח הבקרה מציע גם פקודות למיפוי מחדש של לחצני עכבר, השבתה זמנית של פעולת המקלדת ולאלץ את המחשב לכבות בפתאומיות. פעולות אלו גורמות לבלבול מיידי בסביבת העבודה של המשתמש.
הפלטפורמה מאפשרת לשלוח הודעות טקסט הפותחות חלונות דו-שיח אינטראקטיביים במסך המכונה שנפרצה. התכונה מקימה ערוץ צ’אט ישיר, לא מבוקש, בין התוקף לקורבן. למפעיל יש הרשאות להסתיר את סמלי שולחן העבודה, להסיר את שורת המשימות מהמסך ולחסום את הפתיחה של מנהל המשימות ושורת הפקודה. סמן העכבר גם עובר מניפולציה מרחוק, נע באופן אוטונומי על פני המסך.
הנוכחות של פונקציות הטרולינג הללו משרתת שתי מטרות אסטרטגיות במסחור התוכנה. הראשון כרוך במשיכת קונים בעלי פרופיל פחות טכני, שמחפשים כלים להטרדה וירטואלית או להפגנות כוח. למטרה השנייה יש אופי טקטי, שכן הפרעות ראייה משמשות כמסך עשן. העומס שנוצר בממשק מסיח את דעת המשתמש בעוד המודולים של גניבת קבצים וחילוץ הנתונים פועלים ברקע.
מנגנוני התחמקות ומסחור בפלטפורמות
מומחי אבטחת סייבר זיהו קווי דמיון מבניים עמוקים בין האיום החדש לתוכנית זדונית קודמת, הידועה בשוק כ-WebRAT או Salat Stealer. שני הכלים חולקים את אותו עיצוב ממשק בפאנל הניהול ומשתמשים בקוד מקור שפותח בשפת התכנות Go. גם מערכת המכירות האוטומטית, המופעלת באמצעות בוטים, פועלת לפי אותו דפוס פעולה. לאחר שקיבלו ביקורת בפורומים חשאיים על העתקת הקוד, המפתחים ניסחו מחדש את הזהות החזותית ואימצו את שם העסק החדש.
אסטרטגיית השיווק עברה מפלטפורמות לא ברורות לרשתות מרחיקות לכת. היוצרים מנהלים ערוץ טלגרם פעיל, שבו הם מארחים מתנות מפתחות רישיון בחינם ומפרסמים סקרים כדי לשמור על מעורבות פושעים מתעניינים. ערוץ מקביל ביוטיוב משמש כחלון ראווה טכני, עם סרטונים המדגימים את היעילות של פונקציות פלישה בסביבות מבוקרות. בונה ההפעלה האוטומטי של התוכנית הזדונית מספק תכונות מתקדמות כדי להקשות על עבודתן של חברות אנטי-וירוס. אפשרויות ההגנה כוללות:
- הוטמע חסימה גיאוגרפית כדי להגביל את ביצוע הקוד לאזורים ספציפיים בעולם.
- שילוב מנגנוני אנטי באגים שעוצרים את הניתוח הטכני של התנהגות תוכנה.
- מערכות זיהוי מכונות וירטואליות למניעת ריצה בסביבות מעבדת אבטחה.
- סריקה רציפה של פרוקסי ויישום של תיקוני התגנבות שעוקפים הגנות מערכת מקומיות.
שכבות אלו של ערפול מגינות על הקובץ הזדוני בשלב ההפצה הקריטי ובשניות הראשונות של הביצוע במחשב של הקורבן. המחסום הטכני מעלה את הערך המסחרי של המוצר בקרב מפעילים שדורשים כלי התגנבות לקמפיינים ממושכים.
וקטורי תקיפה ותרחיש הפצה גלובלי
רישומי טלמטריה עדכניים מצביעים על כך שניסיונות ההדבקה מרוכזים בעיקר בשטח הרוסי. המודל העסקי שאומץ על ידי היוצרים, לעומת זאת, אינו קובע מגבלות גיאוגרפיות סופיות עבור רוכשי רישיונות. תכונה מסחרית זו מאפשרת ל-CrystalX RAT להגיע למחשבים בכל מדינה, תלוי רק ביעדים הספציפיים של כל מפעיל שרוכש את השירות. החוקרים עדיין עובדים על מיפוי וקטור הזיהום הראשוני ששימש בקמפיינים האחרונים.
חוסר הבהירות לגבי שיטת המסירה המדויקת של קובץ ההפעלה דורשת תשומת לב מוגברת של מנהלי רשתות ארגוניות ומשתמשים ביתיים. ייעוץ טכני סטנדרטי כולל שמירת מערכות הפעלה ויישומים יומיומיים תמיד מעודכנים עם חבילות האבטחה העדכניות ביותר. אימוץ פתרונות ניטור מתקדמים עוזר לזהות התנהגויות חריגות, כגון ניסיונות גישה מרחוק בלתי מורשית ושינויים שקטים ברשומות מערכת קריטיות.