सूचना सुरक्षा शोधकर्ताओं ने एक सेवा के रूप में मैलवेयर के रूप में वर्गीकृत एक नए साइबर अपराध प्लेटफ़ॉर्म के संचालन को मैप किया है। क्रिस्टलएक्स आरएटी नामक कार्यक्रम, रिमोट डिवाइस नियंत्रण, क्रेडेंशियल्स के चुपचाप निष्कर्षण और वित्तीय लेनदेन पते के प्रतिस्थापन के लिए उपकरणों को एकीकृत करता है। कंपनी कैस्परस्की के विशेषज्ञों ने टूल के व्यावसायीकरण पर नज़र रखी, जो जनवरी 2026 से टेलीग्राम पर संरचित बिक्री चैनलों और यूट्यूब पर प्रकाशित वीडियो प्रदर्शनों के माध्यम से भूमिगत बाजार में लोकप्रियता हासिल कर रहा है।
डेवलपर्स द्वारा अपनाया गया व्यवसाय मॉडल विभिन्न स्तरों के तकनीकी ज्ञान वाले व्यक्तियों को श्रेणियों में विभाजित सदस्यता का भुगतान करके दुर्भावनापूर्ण बुनियादी ढांचे को किराए पर लेने की अनुमति देता है। प्लेटफ़ॉर्म खरीदारों को निष्पादन योग्य फ़ाइलों के स्वचालित बिल्डर के साथ सरलीकृत नेविगेशन इंटरफ़ेस पर आधारित एक नियंत्रण कक्ष प्रदान करता है। यह केंद्रीकृत वास्तुकला विशिष्ट लक्ष्यों के विरुद्ध लक्षित हमले अभियानों के लिए हमलावर कोड को अनुकूलित करना आसान बनाता है।
रिमोट कंट्रोल आर्किटेक्चर और सिस्टम मॉनिटरिंग
मुख्य रिमोट एक्सेस मॉड्यूल ऑपरेटर को संक्रमित मशीन पर लगभग पूर्ण नियंत्रण प्रदान करता है। यह टूल विंडोज़ लाइन इंटरप्रेटर में कमांड के सीधे निष्पादन की अनुमति देता है, जिससे डीप ऑपरेटिंग सिस्टम सेटिंग्स को बदलना संभव हो जाता है। हमलावर हार्ड ड्राइव निर्देशिकाओं को स्वतंत्र रूप से ब्राउज़ करते हुए नए दुर्भावनापूर्ण पेलोड अपलोड कर सकते हैं और संवेदनशील दस्तावेज़ डाउनलोड कर सकते हैं। वीएनसी प्रोटोकॉल के साथ एकीकरण वास्तविक समय में उपयोगकर्ता की स्क्रीन को देखने की गारंटी देता है।
जासूसी कंप्यूटर से जुड़े भौतिक मीडिया पर कब्जा करने की दिशा में आगे बढ़ती है। प्रोग्राम ऑपरेटिंग लाइट संकेतकों को ट्रिगर किए बिना पर्यावरण के ऑडियो और वीडियो रिकॉर्ड करने के लिए डिवाइस के माइक्रोफ़ोन और कैमरे को सक्रिय करता है। साझा पहुंच सत्रों के दौरान, प्रशासन पैनल ब्लॉकिंग बटन प्रदान करता है जो उपयोगकर्ता के भौतिक इनपुट को पंगु बना देता है। यह सुविधा पीड़ित को माउस या कीबोर्ड का उपयोग करने का प्रयास करते समय साइबर अपराधी के कार्यों में बाधा डालने से रोकती है। एक अंतर्निर्मित कीलॉगर सभी कीस्ट्रोक्स को रिकॉर्ड करता है और कीस्ट्रोक रिपोर्ट को कमांड सर्वर तक पहुंचाता है।
ब्राउज़रों और वर्चुअल वॉलेट के प्रतिस्थापन पर ध्यान दें
क्रिस्टलएक्स आरएटी सूचना चोरी ढांचा क्रोमियम प्रोजेक्ट के आधार पर ब्राउज़र में संग्रहीत डेटा को निकालने की दिशा में अपने प्रयासों को निर्देशित करता है। प्राथमिकता लक्ष्यों की सूची में क्रोम के नवीनतम संस्करण, साथ ही यांडेक्स और ओपेरा भी शामिल हैं। डेटा संग्रह प्रक्रिया ब्राउज़र से आगे बढ़ती है और स्टीम, डिस्कॉर्ड और टेलीग्राम जैसे संचार और मनोरंजन अनुप्रयोगों की सत्र फ़ाइलों तक पहुंचती है। बड़े पैमाने पर पासवर्ड निष्कर्षण के लिए विशिष्ट मॉड्यूल को डेवलपर्स द्वारा अस्थायी रूप से निष्क्रिय कर दिया गया है, जो भविष्य के कोड अपडेट में इसे पुनः सक्रिय करने का वादा करते हैं।
क्लिपर के रूप में जाना जाने वाला घटक ऑपरेटिंग सिस्टम के क्लिपबोर्ड की लगातार निगरानी करने के लिए चुपचाप कार्य करता है। इस फ़ंक्शन का केंद्रीय उद्देश्य उन टेक्स्ट पैटर्न की पहचान करना है जो क्रिप्टोकरेंसी वॉलेट पते के अनुरूप हैं। जैसे ही सॉफ़्टवेयर प्रतिलिपि प्रक्रिया के दौरान एक संगत अनुक्रम का पता लगाता है, यह स्वचालित रूप से इसे हमलावर द्वारा नियंत्रित वॉलेट से बदल देता है। पीड़ित गंतव्य फ़ील्ड में चिपकाए गए डेटा में परिवर्तन पर ध्यान दिए बिना वित्तीय लेनदेन पूरा करता है।
कमांड और नियंत्रण सर्वर पर पारगमन के दौरान चोरी की गई जानकारी की सुरक्षा सुनिश्चित करने के लिए, डेवलपर्स ने एन्क्रिप्शन की मजबूत परतें लागू कीं। नियंत्रण कक्ष द्वारा उत्पन्न पेलोड zlib लाइब्रेरी के साथ एक संपीड़न प्रक्रिया से गुजरते हैं और चाचा20 एल्गोरिदम द्वारा संरक्षित होते हैं। संक्रमित मशीन और सर्वर के बीच संचार WebSocket प्रोटोकॉल के माध्यम से होता है। यह तकनीकी विकल्प एक द्विदिश और लगातार कनेक्शन स्थापित करता है, जो निरंतर पुन: कनेक्शन की आवश्यकता को समाप्त करता है और सिग्नल के उतार-चढ़ाव वाले नेटवर्क में भी स्थिरता की गारंटी देता है। प्रारंभिक संक्रमण के समय, मैलवेयर ट्रैकिंग उद्देश्यों के लिए एक संपूर्ण हार्डवेयर सूची प्रसारित करता है।
दृश्य व्यवधान उपकरण और सीधी बातचीत
भूमिगत बाजार में क्रिस्टलएक्स आरएटी का अंतर व्यवधान उपकरणों के एक विशाल सेट के एकीकरण में निहित है, जिसे तकनीकी रूप से प्रैंकवेयर के रूप में वर्गीकृत किया गया है। ऑपरेटर डेस्कटॉप वॉलपेपर बदलने और मॉनिटर डिस्प्ले ओरिएंटेशन को तुरंत उलटने की क्षमता हासिल कर लेते हैं। नियंत्रण कक्ष माउस बटन को रीमैप करने, कीबोर्ड ऑपरेशन को अस्थायी रूप से अक्षम करने और कंप्यूटर को अचानक बंद करने के लिए आदेश भी प्रदान करता है। ये क्रियाएं उपयोगकर्ता के कार्य वातावरण में तत्काल भ्रम पैदा करती हैं।
प्लेटफ़ॉर्म टेक्स्ट संदेश भेजना संभव बनाता है जो समझौता किए गए मशीन की स्क्रीन पर इंटरैक्टिव संवाद विंडो खोलता है। यह सुविधा हमलावर और पीड़ित के बीच एक सीधा, अनचाहा चैट चैनल स्थापित करती है। ऑपरेटर के पास डेस्कटॉप आइकन छिपाने, स्क्रीन से टास्कबार हटाने और टास्क मैनेजर और कमांड प्रॉम्प्ट को खोलने से रोकने की अनुमति है। माउस कर्सर भी दूरस्थ हेरफेर से गुजरता है, स्क्रीन पर स्वायत्त रूप से घूमता है।
इन ट्रोलिंग फ़ंक्शंस की उपस्थिति सॉफ़्टवेयर के व्यावसायीकरण में दो रणनीतिक उद्देश्यों को पूरा करती है। पहले में कम तकनीकी प्रोफ़ाइल वाले खरीदारों को आकर्षित करना शामिल है, जो आभासी उत्पीड़न या बल के प्रदर्शन के लिए उपकरणों की तलाश में हैं। दूसरे उद्देश्य की प्रकृति सामरिक है, क्योंकि दृश्य गड़बड़ी एक स्मोक स्क्रीन के रूप में काम करती है। इंटरफ़ेस में उत्पन्न अव्यवस्था उपयोगकर्ता का ध्यान भटकाती है जबकि फ़ाइल चोरी और डेटा निष्कर्षण मॉड्यूल पृष्ठभूमि में काम करते हैं।
प्लेटफार्मों पर चोरी और व्यावसायीकरण तंत्र
साइबर सुरक्षा विशेषज्ञों ने नए खतरे और पिछले दुर्भावनापूर्ण प्रोग्राम के बीच गहरी संरचनात्मक समानता की पहचान की, जिसे बाजार में WebRAT या सलात स्टीलर के नाम से जाना जाता है। दोनों उपकरण प्रशासन पैनल में समान इंटरफ़ेस डिज़ाइन साझा करते हैं और गो प्रोग्रामिंग भाषा में विकसित स्रोत कोड का उपयोग करते हैं। बॉट्स के माध्यम से संचालित स्वचालित बिक्री प्रणाली भी उसी ऑपरेटिंग पैटर्न का पालन करती है। कोड की प्रतिलिपि बनाने के बारे में गुप्त मंचों पर आलोचना प्राप्त करने के बाद, डेवलपर्स ने दृश्य पहचान में सुधार किया और नया व्यवसाय नाम अपनाया।
विपणन रणनीति अस्पष्ट प्लेटफार्मों से दूरगामी नेटवर्कों की ओर स्थानांतरित हो गई है। निर्माता एक सक्रिय टेलीग्राम चैनल चलाते हैं, जहां वे इच्छुक अपराधियों को व्यस्त रखने के लिए मुफ्त लाइसेंस कुंजी उपहार और पोस्ट पोल की मेजबानी करते हैं। YouTube पर एक समानांतर चैनल एक तकनीकी शोकेस के रूप में कार्य करता है, जिसमें ऐसे वीडियो होते हैं जो नियंत्रित वातावरण में आक्रमण कार्यों की प्रभावशीलता को प्रदर्शित करते हैं। दुर्भावनापूर्ण प्रोग्राम का स्वचालित निष्पादन योग्य बिल्डर एंटीवायरस कंपनियों के काम को और अधिक कठिन बनाने के लिए उन्नत सुविधाएँ प्रदान करता है। सुरक्षा विकल्पों में शामिल हैं:
- विश्व के विशिष्ट क्षेत्रों में कोड निष्पादन को प्रतिबंधित करने के लिए जियो-ब्लॉकिंग लागू की गई।
- एंटी-डिबगिंग तंत्र का एकीकरण जो सॉफ़्टवेयर व्यवहार के तकनीकी विश्लेषण को रोकता है।
- सुरक्षा प्रयोगशाला वातावरण में चलने से रोकने के लिए वर्चुअल मशीन डिटेक्शन सिस्टम।
- प्रॉक्सी की निरंतर स्कैनिंग और स्टील्थ पैच का अनुप्रयोग जो देशी सिस्टम सुरक्षा को बायपास करता है।
अस्पष्टता की ये परतें महत्वपूर्ण वितरण चरण के दौरान और पीड़ित की मशीन पर निष्पादन के पहले कुछ सेकंड के दौरान दुर्भावनापूर्ण फ़ाइल की रक्षा करती हैं। तकनीकी बाधा उन ऑपरेटरों के बीच उत्पाद के व्यावसायिक मूल्य को बढ़ाती है जिन्हें लंबे अभियानों के लिए गुप्त उपकरणों की आवश्यकता होती है।
आक्रमण वैक्टर और वैश्विक वितरण परिदृश्य
वर्तमान टेलीमेट्री रिकॉर्ड से संकेत मिलता है कि संक्रमण के प्रयास ज्यादातर रूसी क्षेत्र में केंद्रित हैं। हालाँकि, रचनाकारों द्वारा अपनाया गया व्यवसाय मॉडल लाइसेंस खरीदारों के लिए निश्चित भौगोलिक प्रतिबंध स्थापित नहीं करता है। यह व्यावसायिक सुविधा क्रिस्टलएक्स आरएटी को किसी भी देश में कंप्यूटर तक पहुंचने की अनुमति देती है, जो केवल सेवा खरीदने वाले प्रत्येक ऑपरेटर के विशिष्ट उद्देश्यों पर निर्भर करता है। शोधकर्ता अभी भी सबसे हालिया अभियानों में उपयोग किए गए प्रारंभिक संक्रमण वेक्टर को मैप करने के लिए काम कर रहे हैं।
निष्पादन योग्य फ़ाइल की सटीक वितरण विधि के बारे में स्पष्टता की कमी के कारण कॉर्पोरेट नेटवर्क प्रशासकों और घरेलू उपयोगकर्ताओं को अधिक ध्यान देने की आवश्यकता है। मानक तकनीकी सलाह में ऑपरेटिंग सिस्टम और रोजमर्रा के अनुप्रयोगों को हमेशा नवीनतम सुरक्षा पैकेजों के साथ अद्यतन रखना शामिल है। उन्नत निगरानी समाधान अपनाने से असामान्य व्यवहारों की पहचान करने में मदद मिलती है, जैसे अनधिकृत रिमोट एक्सेस प्रयास और महत्वपूर्ण सिस्टम रिकॉर्ड में मौन संशोधन।