นักวิจัยด้านความปลอดภัยของข้อมูลได้จัดทำแผนที่การทำงานของแพลตฟอร์มอาชญากรรมไซเบอร์ใหม่ซึ่งจัดเป็นมัลแวร์ในฐานะบริการ โปรแกรมที่เรียกว่า CrystalX RAT ผสานรวมเครื่องมือสำหรับการควบคุมอุปกรณ์ระยะไกล การดึงข้อมูลประจำตัวโดยไม่ต้องแจ้งให้ทราบ และการแทนที่ที่อยู่ธุรกรรมทางการเงิน ผู้เชี่ยวชาญจากบริษัท Kaspersky ติดตามการจำหน่ายเครื่องมือนี้ในเชิงพาณิชย์ ซึ่งได้รับความสนใจในตลาดใต้ดินตั้งแต่เดือนมกราคม 2569 ผ่านช่องทางการขายที่มีโครงสร้างบน Telegram และวิดีโอสาธิตที่เผยแพร่บน YouTube
รูปแบบธุรกิจที่นักพัฒนานำมาใช้ช่วยให้บุคคลที่มีความรู้ทางเทคนิคในระดับที่แตกต่างกันสามารถเช่าโครงสร้างพื้นฐานที่เป็นอันตรายโดยชำระค่าสมัครสมาชิกที่แบ่งออกเป็นหมวดหมู่ แพลตฟอร์มดังกล่าวมอบแผงควบคุมให้กับผู้ซื้อโดยใช้อินเทอร์เฟซการนำทางที่เรียบง่าย พร้อมด้วยตัวสร้างไฟล์ปฏิบัติการอัตโนมัติ สถาปัตยกรรมแบบรวมศูนย์นี้ทำให้ง่ายต่อการปรับแต่งโค้ดการโจมตีสำหรับแคมเปญการโจมตีแบบกำหนดเป้าหมายต่อเป้าหมายเฉพาะ
สถาปัตยกรรมการควบคุมระยะไกลและการตรวจสอบระบบ
โมดูลการเข้าถึงระยะไกลหลักช่วยให้ผู้ปฏิบัติงานสามารถควบคุมเครื่องที่ติดไวรัสได้เกือบทั้งหมด เครื่องมือนี้ช่วยให้สามารถดำเนินการคำสั่งโดยตรงในล่ามบรรทัดของ Windows ซึ่งทำให้สามารถเปลี่ยนการตั้งค่าระบบปฏิบัติการเชิงลึกได้ ผู้โจมตีสามารถอัปโหลดเพย์โหลดที่เป็นอันตรายใหม่และดาวน์โหลดเอกสารสำคัญในขณะที่เรียกดูไดเร็กทอรีฮาร์ดไดรฟ์ได้อย่างอิสระ การผสานรวมกับโปรโตคอล VNC รับประกันการรับชมหน้าจอของผู้ใช้แบบเรียลไทม์
การจารกรรมมุ่งสู่การจับสื่อทางกายภาพที่เชื่อมต่อกับคอมพิวเตอร์ โปรแกรมเปิดใช้งานไมโครโฟนและกล้องของอุปกรณ์เพื่อบันทึกเสียงและวิดีโอของสภาพแวดล้อมโดยไม่เปิดสัญญาณไฟแสดงการทำงาน ในระหว่างเซสชันการเข้าถึงที่ใช้ร่วมกัน แผงการดูแลระบบจะมีปุ่มบล็อกที่ทำให้อินพุตทางกายภาพของผู้ใช้เป็นอัมพาต คุณลักษณะนี้ป้องกันเหยื่อจากการขัดจังหวะการกระทำของอาชญากรไซเบอร์เมื่อพยายามใช้เมาส์หรือคีย์บอร์ด คีย์ล็อกเกอร์ในตัวจะบันทึกการกดแป้นพิมพ์ทั้งหมดและส่งรายงานการกดแป้นพิมพ์ไปยังเซิร์ฟเวอร์คำสั่ง
มุ่งเน้นไปที่เบราว์เซอร์และการแทนที่กระเป๋าเงินเสมือน
เฟรมเวิร์กการขโมยข้อมูล CrystalX RAT มุ่งความพยายามในการแยกข้อมูลที่จัดเก็บไว้ในเบราว์เซอร์ตามโปรเจ็กต์ Chromium รายการเป้าหมายสำคัญ ได้แก่ Chrome เวอร์ชันล่าสุด รวมถึง Yandex และ Opera กระบวนการรวบรวมข้อมูลเป็นมากกว่าเบราว์เซอร์และเข้าถึงไฟล์เซสชันของแอปพลิเคชันการสื่อสารและความบันเทิง เช่น Steam, Discord และ Telegram โมดูลเฉพาะสำหรับการดึงรหัสผ่านจำนวนมากถูกปิดใช้งานชั่วคราวโดยนักพัฒนา ซึ่งสัญญาว่าจะเปิดใช้งานอีกครั้งในการอัปเดตโค้ดในอนาคต
ส่วนประกอบที่เรียกว่า clipper ทำหน้าที่เงียบ ๆ เพื่อตรวจสอบคลิปบอร์ดของระบบปฏิบัติการอย่างต่อเนื่อง วัตถุประสงค์หลักของฟังก์ชันนี้คือเพื่อระบุรูปแบบข้อความที่สอดคล้องกับที่อยู่กระเป๋าสตางค์สกุลเงินดิจิทัล ทันทีที่ซอฟต์แวร์ตรวจพบลำดับที่เข้ากันได้ในระหว่างกระบวนการคัดลอก ซอฟต์แวร์จะแทนที่โดยอัตโนมัติด้วยกระเป๋าเงินที่ควบคุมโดยผู้โจมตี เหยื่อทำธุรกรรมทางการเงินให้เสร็จสิ้นโดยไม่สังเกตเห็นการเปลี่ยนแปลงของข้อมูลที่วางลงในช่องปลายทาง
เพื่อให้มั่นใจในความปลอดภัยของข้อมูลที่ถูกขโมยระหว่างการส่งผ่านไปยังเซิร์ฟเวอร์สั่งการและควบคุม นักพัฒนาจึงใช้การเข้ารหัสหลายชั้นที่แข็งแกร่ง เพย์โหลดที่สร้างโดยแผงควบคุมจะผ่านกระบวนการบีบอัดด้วยไลบรารี zlib และได้รับการปกป้องโดยอัลกอริธึม ChaCha20 การสื่อสารระหว่างเครื่องที่ติดไวรัสและเซิร์ฟเวอร์เกิดขึ้นผ่านโปรโตคอล WebSocket ตัวเลือกทางเทคนิคนี้จะสร้างการเชื่อมต่อแบบสองทิศทางและต่อเนื่อง ซึ่งช่วยลดความจำเป็นในการเชื่อมต่อใหม่อย่างต่อเนื่อง และรับประกันความเสถียรแม้ในเครือข่ายที่มีสัญญาณผันผวน ในช่วงเวลาของการติดเชื้อครั้งแรก มัลแวร์จะส่งรายการฮาร์ดแวร์ทั้งหมดเพื่อวัตถุประสงค์ในการติดตาม
เครื่องมือรบกวนการมองเห็นและการโต้ตอบโดยตรง
ความแตกต่างของ CrystalX RAT ในตลาดใต้ดินอยู่ที่การบูรณาการชุดเครื่องมือหยุดชะงักจำนวนมากมาย ซึ่งจัดอยู่ในประเภททางเทคนิคว่าเป็นแกล้งกัน ผู้ปฏิบัติงานสามารถเปลี่ยนวอลเปเปอร์เดสก์ท็อปและกลับทิศทางการแสดงผลของจอภาพได้ทันที แผงควบคุมยังมีคำสั่งในการรีแมปปุ่มเมาส์ ปิดการใช้งานแป้นพิมพ์ชั่วคราว และบังคับให้คอมพิวเตอร์ปิดเครื่องกะทันหัน การกระทำเหล่านี้ทำให้เกิดความสับสนในสภาพแวดล้อมการทำงานของผู้ใช้ทันที
แพลตฟอร์มดังกล่าวทำให้สามารถส่งข้อความที่เปิดหน้าต่างข้อความโต้ตอบบนหน้าจอเครื่องที่ถูกบุกรุกได้ คุณลักษณะนี้สร้างช่องทางสนทนาโดยตรงที่ไม่พึงประสงค์ระหว่างผู้โจมตีและเหยื่อ ผู้ดำเนินการมีสิทธิ์ในการซ่อนไอคอนเดสก์ท็อป ลบแถบงานออกจากหน้าจอ และบล็อกการเปิด Task Manager และ Command Prompt เคอร์เซอร์ของเมาส์ยังได้รับการจัดการจากระยะไกล โดยเคลื่อนที่ผ่านหน้าจอโดยอัตโนมัติ
การมีอยู่ของฟังก์ชันหลอกเหล่านี้มีวัตถุประสงค์เชิงกลยุทธ์สองประการในการจำหน่ายซอฟต์แวร์ ประการแรกเกี่ยวข้องกับการดึงดูดผู้ซื้อที่มีประวัติทางเทคนิคน้อยกว่า ซึ่งกำลังมองหาเครื่องมือสำหรับการคุกคามเสมือนจริงหรือการสาธิตการใช้กำลัง จุดประสงค์ที่สองมีลักษณะทางยุทธวิธี เนื่องจากการรบกวนทางสายตาทำหน้าที่เป็นม่านควัน ความยุ่งเหยิงที่เกิดขึ้นในอินเทอร์เฟซจะทำให้ผู้ใช้เสียสมาธิในขณะที่โมดูลการขโมยไฟล์และการแยกข้อมูลทำงานในเบื้องหลัง
กลไกการหลีกเลี่ยงและการค้าบนแพลตฟอร์ม
ผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ระบุความคล้ายคลึงทางโครงสร้างเชิงลึกระหว่างภัยคุกคามใหม่และโปรแกรมที่เป็นอันตรายก่อนหน้านี้ ซึ่งเป็นที่รู้จักในตลาดในชื่อ WebRAT หรือ Salat Stealer เครื่องมือทั้งสองใช้การออกแบบอินเทอร์เฟซเดียวกันในแผงการดูแลระบบและใช้ซอร์สโค้ดที่พัฒนาในภาษาการเขียนโปรแกรม Go ระบบการขายอัตโนมัติที่ดำเนินการผ่านบอทก็เป็นไปตามรูปแบบการทำงานเดียวกัน หลังจากได้รับการวิพากษ์วิจารณ์ในฟอรัมลับเกี่ยวกับการคัดลอกโค้ด นักพัฒนาได้ปรับรูปแบบอัตลักษณ์ทางภาพและนำชื่อธุรกิจใหม่มาใช้
กลยุทธ์การตลาดได้ย้ายจากแพลตฟอร์มที่ไม่ชัดเจนไปสู่เครือข่ายที่กว้างขวาง ผู้สร้างดำเนินการช่อง Telegram ที่ใช้งานได้ โดยเป็นเจ้าภาพแจกรหัสลิขสิทธิ์ฟรีและโพสต์โพลเพื่อให้อาชญากรที่สนใจมีส่วนร่วม ช่องคู่ขนานบน YouTube ทำหน้าที่เป็นการแสดงทางเทคนิค พร้อมด้วยวิดีโอที่แสดงให้เห็นถึงประสิทธิภาพของฟังก์ชันการบุกรุกในสภาพแวดล้อมที่มีการควบคุม ตัวสร้างปฏิบัติการอัตโนมัติของโปรแกรมที่เป็นอันตรายนำเสนอคุณสมบัติขั้นสูงเพื่อทำให้การทำงานของบริษัทป้องกันไวรัสยากขึ้น ตัวเลือกการป้องกันได้แก่:
- ใช้การปิดกั้นทางภูมิศาสตร์เพื่อจำกัดการเรียกใช้โค้ดไปยังภูมิภาคเฉพาะของโลก
- บูรณาการกลไกป้องกันการดีบักที่หยุดการวิเคราะห์ทางเทคนิคของพฤติกรรมซอฟต์แวร์
- ระบบการตรวจจับเครื่องเสมือนเพื่อป้องกันการทำงานในสภาพแวดล้อมห้องปฏิบัติการความปลอดภัย
- การสแกนพร็อกซีอย่างต่อเนื่องและการใช้แพตช์ซ่อนตัวที่เลี่ยงการป้องกันระบบดั้งเดิม
การสร้างความสับสนหลายชั้นเหล่านี้จะปกป้องไฟล์ที่เป็นอันตรายในระหว่างขั้นตอนการแจกจ่ายที่สำคัญและไม่กี่วินาทีแรกของการดำเนินการบนเครื่องของเหยื่อ อุปสรรคทางเทคนิคจะเพิ่มมูลค่าทางการค้าของผลิตภัณฑ์ในหมู่ผู้ปฏิบัติงานที่ต้องการเครื่องมือซ่อนตัวสำหรับแคมเปญที่ยืดเยื้อ
เวกเตอร์การโจมตีและสถานการณ์การกระจายทั่วโลก
บันทึกการตรวจวัดทางไกลในปัจจุบันระบุว่าความพยายามในการติดเชื้อส่วนใหญ่กระจุกตัวอยู่ในดินแดนรัสเซีย อย่างไรก็ตาม โมเดลธุรกิจที่ผู้สร้างนำมาใช้ไม่ได้กำหนดข้อจำกัดทางภูมิศาสตร์ขั้นสุดท้ายสำหรับผู้ซื้อใบอนุญาต คุณสมบัติเชิงพาณิชย์นี้ช่วยให้ CrystalX RAT เข้าถึงคอมพิวเตอร์ในประเทศใดก็ได้ ขึ้นอยู่กับวัตถุประสงค์เฉพาะของผู้ให้บริการแต่ละรายที่ซื้อบริการเท่านั้น นักวิจัยยังคงทำงานเพื่อทำแผนที่เวกเตอร์การติดเชื้อเริ่มแรกที่ใช้ในแคมเปญล่าสุด
การขาดความชัดเจนเกี่ยวกับวิธีการจัดส่งที่แน่นอนของไฟล์ปฏิบัติการจำเป็นต้องได้รับความสนใจเพิ่มขึ้นจากผู้ดูแลระบบเครือข่ายองค์กรและผู้ใช้ตามบ้าน คำแนะนำทางเทคนิคมาตรฐานเกี่ยวข้องกับการดูแลรักษาระบบปฏิบัติการและแอปพลิเคชันในชีวิตประจำวันให้ทันสมัยอยู่เสมอด้วยแพ็คเกจความปลอดภัยล่าสุด การใช้โซลูชันการตรวจสอบขั้นสูงช่วยระบุพฤติกรรมที่ผิดปกติ เช่น ความพยายามในการเข้าถึงระยะไกลโดยไม่ได้รับอนุญาต และการแก้ไขบันทึกของระบบที่สำคัญโดยไม่โต้ตอบ