情報セキュリティ研究者は、サービスとしてのマルウェアとして分類される新しいサイバー犯罪プラットフォームの運用をマッピングしました。 CrystalX RAT と呼ばれるこのプログラムには、リモート デバイス制御、資格情報のサイレント抽出、金融取引アドレスの置換のためのツールが統合されています。カスペルスキー社の専門家は、このツールの商業化を追跡しました。このツールは、Telegram 上の構造化された販売チャネルや YouTube で公開されたビデオ デモンストレーションを通じて、2026 年 1 月以来アンダーグラウンド市場で注目を集めています。
開発者が採用したビジネス モデルでは、さまざまなレベルの技術知識を持つ個人が、カテゴリに分けられたサブスクリプションを支払うことで、悪意のあるインフラストラクチャをレンタルできます。このプラットフォームは、実行可能ファイルの自動ビルダーを伴う、簡略化されたナビゲーション インターフェイスに基づくコントロール パネルを購入者に提供します。この一元化されたアーキテクチャにより、特定のターゲットに対する標的型攻撃キャンペーンの攻撃コードを簡単にカスタマイズできます。
遠隔制御アーキテクチャとシステム監視
メインのリモート アクセス モジュールにより、オペレータは感染したマシンをほぼ完全に制御できるようになります。このツールを使用すると、Windows ライン インタープリターでコマンドを直接実行できるため、オペレーティング システムの詳細な設定を変更できるようになります。攻撃者は、ハードドライブのディレクトリを自由に参照しながら、新しい悪意のあるペイロードをアップロードしたり、機密文書をダウンロードしたりする可能性があります。 VNC プロトコルとの統合により、ユーザーの画面をリアルタイムで表示できることが保証されます。
スパイ活動は、コンピュータに接続されている物理メディアの捕獲に向けて動きます。このプログラムは、無影灯インジケーターを作動させることなく、デバイスのマイクとカメラを起動して環境の音声とビデオを記録します。共有アクセス セッション中、管理パネルにはユーザーの物理的な入力を麻痺させるブロック ボタンが表示されます。この機能は、被害者がマウスやキーボードを使用しようとするときにサイバー犯罪者の行動を中断することを防ぎます。内蔵キーロガーがすべてのキーストロークを記録し、キーストローク レポートをコマンド サーバーに送信します。
ブラウザと仮想ウォレットの代替に焦点を当てる
CrystalX RAT 情報盗難フレームワークは、Chromium プロジェクトに基づいてブラウザに保存されているデータの抽出に向けた取り組みを行っています。優先ターゲットのリストには、Chrome の最新バージョンに加え、Yandex や Opera も含まれます。データ収集プロセスはブラウザを超えて、Steam、Discord、Telegram などのコミュニケーションおよびエンターテイメント アプリケーションのセッション ファイルに到達します。大規模なパスワード抽出のための特定のモジュールは開発者によって一時的に無効化されていますが、将来のコード更新で再び有効化すると約束されています。
クリッパーとして知られるコンポーネントは、サイレントに動作してオペレーティング システムのクリップボードを継続的に監視します。この関数の主な目的は、暗号通貨ウォレットのアドレスに対応するテキスト パターンを識別することです。ソフトウェアはコピープロセス中に互換性のあるシーケンスを検出するとすぐに、それを攻撃者が制御するウォレットに自動的に置き換えます。被害者は、宛先フィールドに貼り付けられたデータの変更に気付かずに金融取引を完了します。
コマンド アンド コントロール サーバーへの転送中に盗まれた情報のセキュリティを確保するために、開発者は堅牢な暗号化層を実装しました。コントロール パネルによって生成されたペイロードは、zlib ライブラリによる圧縮プロセスを受け、ChaCha20 アルゴリズムによって保護されます。感染したマシンとサーバー間の通信は、WebSocket プロトコルを介して行われます。この技術的な選択により、双方向の永続的な接続が確立され、定期的に再接続する必要がなくなり、信号が変動するネットワークでも安定性が保証されます。最初の感染時に、マルウェアは追跡目的で完全なハードウェア インベントリを送信します。
視覚的破壊ツールと直接的なインタラクション
アンダーグラウンド マーケットにおける CrystalX RAT の違いは、技術的にはいたずらウェアとして分類される膨大な破壊ツールのセットが統合されていることです。オペレーターは、デスクトップの壁紙を変更したり、モニターの表示方向を即座に反転したりできるようになります。コントロール パネルには、マウス ボタンを再マッピングしたり、キーボード操作を一時的に無効にしたり、コンピュータを強制的に強制的にシャットダウンしたりするコマンドも用意されています。これらのアクションは、ユーザーの作業環境に直ちに混乱を引き起こします。
このプラットフォームを使用すると、侵害されたマシンの画面上でインタラクティブなダイアログ ウィンドウを開くテキスト メッセージを送信できるようになります。この機能は、攻撃者と被害者の間に直接の一方的なチャット チャネルを確立します。オペレーターは、デスクトップ アイコンを非表示にし、画面からタスク バーを削除し、タスク マネージャーとコマンド プロンプトを開くのをブロックする権限を持っています。マウス カーソルも遠隔操作を受け、画面上を自律的に移動します。
これらのトローリング機能の存在は、ソフトウェアの商用化において 2 つの戦略的目的に役立ちます。 1 つ目は、仮想的な嫌がらせや武力行使のためのツールを探している、技術的知識があまりないバイヤーを引き付けることです。 2 番目の目的は、視覚障害が煙幕として機能するため、戦術的な性質を持っています。ファイル盗用モジュールとデータ抽出モジュールがバックグラウンドで動作している間、インターフェースで生成される乱雑さはユーザーの注意をそらすことになります。
プラットフォーム上の回避および商用化メカニズム
サイバーセキュリティの専門家は、新たな脅威と、市場で WebRAT または Salat Stealer として知られる以前の悪意のあるプログラムとの間に深い構造的類似性があることを特定しました。どちらのツールも管理パネルで同じインターフェイス設計を共有し、Go プログラミング言語で開発されたソース コードを使用します。ボットを利用した自動販売システムも同様の動作パターンとなっています。コードをコピーしたことについて秘密のフォーラムで批判を受けた後、開発者はビジュアル アイデンティティを再策定し、新しい社名を採用しました。
マーケティング戦略は、目立たないプラットフォームから広範囲に及ぶネットワークに移行しました。作成者はアクティブな Telegram チャネルを運営しており、そこで無料のライセンス キーのプレゼント企画を主催したり、関心のある犯罪者を引き付けるために投票を投稿したりしています。 YouTube の並行チャンネルは技術的なショーケースとして機能し、制御された環境における侵入機能の有効性を示すビデオが提供されています。悪意のあるプログラムの自動実行可能ビルダーは、ウイルス対策会社の作業をより困難にする高度な機能を提供します。保護オプションには次のものが含まれます。
- コードの実行を地球上の特定の地域に制限する地理ブロッキングを実装しました。
- ソフトウェア動作の技術的分析を停止するアンチデバッグ メカニズムの統合。
- セキュリティ ラボ環境での実行を防止する仮想マシン検出システム。
- プロキシの継続的なスキャンと、ネイティブ システムの防御をバイパスするステルス パッチの適用。
これらの難読化層は、重要な配布段階と被害者のマシンでの実行の最初の数秒の間、悪意のあるファイルを保護します。技術的な障壁は、長期にわたるキャンペーンのためにステルス ツールを必要とする通信事業者の間で製品の商業的価値を高めます。
攻撃ベクトルと世界規模の配布シナリオ
現在の遠隔測定記録によると、感染の試みは主にロシア領土に集中している。ただし、クリエイターが採用するビジネス モデルでは、ライセンス購入者に対して明確な地理的制限が確立されていません。この商用機能により、CrystalX RAT は、サービスを購入する各事業者の特定の目的にのみ応じて、どの国のコンピュータにもアクセスできるようになります。研究者たちは、最新のキャンペーンで使用された最初の感染経路をマッピングする作業を続けています。
実行可能ファイルの正確な配信方法が明確になっていないため、企業のネットワーク管理者や家庭ユーザーはさらに注意を払う必要があります。標準的な技術アドバイスには、最新のセキュリティ パッケージを使用してオペレーティング システムと日常のアプリケーションを常に最新の状態に保つことが含まれます。高度な監視ソリューションを導入すると、不正なリモート アクセスの試みや重要なシステム レコードへのサイレント変更などの異常な動作を特定するのに役立ちます。