信息安全研究人员绘制了一个新的网络犯罪平台的操作图,该平台被归类为恶意软件即服务。该程序名为 CrystalX RAT,集成了用于远程设备控制、静默提取凭证和替换金融交易地址的工具。卡巴斯基公司的专家跟踪了该工具的商业化情况,自 2026 年 1 月以来,该工具通过 Telegram 上的结构化销售渠道和 YouTube 上发布的视频演示在地下市场获得了关注。
开发人员采用的商业模式允许具有不同技术知识水平的个人通过付费分类的方式租用恶意基础设施。该平台为买家提供了一个基于简化导航界面的控制面板,并配有可执行文件的自动生成器。这种集中式架构可以轻松定制针对特定目标的针对性攻击活动的攻击代码。
远程控制架构和系统监控
主要的远程访问模块使操作员几乎可以完全控制受感染的机器。该工具允许在 Windows 行解释器中直接执行命令,从而可以更改深层操作系统设置。攻击者可以在自由浏览硬盘目录的同时上传新的恶意负载并下载敏感文档。与 VNC 协议的集成保证了用户屏幕的实时查看。
间谍活动转向捕获连接到计算机的物理媒体。该程序激活设备的麦克风和摄像头来记录环境的音频和视频,而无需触发操作指示灯。在共享访问会话期间,管理面板提供了阻止用户物理输入的阻止按钮。该功能可防止受害者在尝试使用鼠标或键盘时打断网络犯罪分子的操作。内置键盘记录器记录所有击键并将击键报告传输到命令服务器。
专注于浏览器和虚拟钱包的替代
CrystalX RAT 信息盗窃框架致力于提取基于 Chromium 项目的浏览器中存储的数据。优先目标列表包括最新版本的 Chrome、Yandex 和 Opera。数据收集过程超越了浏览器,到达了通信和娱乐应用程序的会话文件,例如 Steam、Discord 和 Telegram。用于大规模密码提取的特定模块已被开发人员暂时停用,他们承诺在未来的代码更新中重新激活它。
称为 Clipper 的组件会默默地持续监视操作系统的剪贴板。该功能的中心目标是识别与加密货币钱包地址相对应的文本模式。一旦软件在复制过程中检测到兼容的序列,它就会自动将其替换为攻击者控制的钱包。受害者在没有注意到粘贴到目标字段的数据发生变化的情况下完成了金融交易。
为了确保被盗信息在传输到命令和控制服务器期间的安全,开发人员实施了强大的加密层。控制面板生成的有效负载经过 zlib 库的压缩处理,并受到 ChaCha20 算法的保护。受感染计算机和服务器之间的通信通过 WebSocket 协议进行。这种技术选择建立了双向持久连接,无需不断重新连接,即使在信号波动的网络中也能保证稳定性。在最初感染时,恶意软件会传输完整的硬件清单以进行跟踪。
视觉破坏工具和直接交互
CrystalX RAT 在地下市场的与众不同之处在于集成了大量的破坏工具,从技术上讲,这些工具被归类为恶作剧软件。操作员能够立即更改桌面壁纸并反转显示器显示方向。控制面板还提供重新映射鼠标按钮、暂时禁用键盘操作以及强制计算机突然关闭的命令。这些行为会立即导致用户的工作环境混乱。
该平台可以发送文本消息,在受感染计算机的屏幕上打开交互式对话窗口。该功能在攻击者和受害者之间建立了直接的、未经请求的聊天通道。操作员有权隐藏桌面图标、从屏幕上删除任务栏以及阻止打开任务管理器和命令提示符。鼠标光标也可以进行远程操作,在屏幕上自主移动。
这些恶意攻击功能的存在在软件商业化方面有两个战略目的。第一个涉及吸引技术含量较低的买家,他们正在寻找虚拟骚扰或武力展示的工具。第二个目的具有战术性质,因为视觉干扰可以起到烟幕弹的作用。当文件窃取和数据提取模块在后台运行时,界面中产生的混乱会分散用户的注意力。
平台上的规避和商业化机制
网络安全专家发现,新威胁与之前的恶意程序(市场上称为 WebRAT 或 Salat Stealer)之间存在深刻的结构相似性。这两个工具在管理面板中共享相同的界面设计,并使用 Go 编程语言开发的源代码。通过机器人操作的自动化销售系统也遵循相同的操作模式。在秘密论坛上收到有关复制代码的批评后,开发人员重新设计了视觉标识并采用了新的企业名称。
营销策略已经从不起眼的平台转移到影响深远的网络。创建者运营着一个活跃的 Telegram 频道,他们在那里举办免费许可证密钥赠品并发布民意调查,以吸引感兴趣的犯罪分子的参与。 YouTube 上的并行频道用作技术展示,其中的视频展示了受控环境中入侵功能的有效性。该恶意程序的自动可执行生成器提供了高级功能,使防病毒公司的工作变得更加困难。保护选项包括:
- 实施地理封锁以将代码执行限制在全球特定区域。
- 集成反调试机制,停止对软件行为的技术分析。
- 虚拟机检测系统可防止在安全实验室环境中运行。
- 持续扫描代理并应用绕过本机系统防御的隐形补丁。
这些混淆层可以在关键分发阶段以及在受害者计算机上执行的最初几秒钟内保护恶意文件。对于需要隐形工具进行长时间活动的运营商来说,技术障碍增加了该产品的商业价值。
攻击向量和全球分布场景
目前的遥测记录表明,感染企图主要集中在俄罗斯境内。然而,创作者采用的商业模式并没有为许可证购买者建立明确的地理限制。此商业功能允许 CrystalX RAT 访问任何国家/地区的计算机,仅取决于购买该服务的每个运营商的具体目标。研究人员仍在努力绘制最近活动中使用的初始感染媒介。
可执行文件的确切交付方法缺乏明确性,需要企业网络管理员和家庭用户更加关注。标准技术建议包括使操作系统和日常应用程序始终保持最新的安全包。采用先进的监控解决方案有助于识别异常行为,例如未经授权的远程访问尝试和对关键系统记录的静默修改。