資訊安全研究人員繪製了一個新的網路犯罪平台的操作圖,該平台被歸類為惡意軟體即服務。該程式名為 CrystalX RAT,整合了用於遠端設備控制、靜默提取憑證和替換金融交易地址的工具。卡巴斯基公司的專家追蹤了該工具的商業化情況,自 2026 年 1 月以來,該工具透過 Telegram 上的結構化銷售管道和 YouTube 上發布的視訊演示在地下市場獲得了關注。
開發人員採用的商業模式允許具有不同技術知識水平的個人透過付費分類的方式租用惡意基礎設施。該平台為買家提供了一個基於簡化導航介面的控制面板,並配有可執行檔的自動產生器。這種集中式架構可以輕鬆自訂針對特定目標的針對性攻擊活動的攻擊程式碼。
遠端控制架構和系統監控
主要的遠端存取模組使操作員幾乎可以完全控制受感染的機器。該工具允許在 Windows 行解釋器中直接執行命令,從而可以更改深層作業系統設定。攻擊者可以在自由瀏覽硬碟目錄的同時上傳新的惡意負載並下載敏感文件。與 VNC 協議的整合保證了用戶螢幕的即時查看。
間諜活動轉向捕捉連接到電腦的實體媒體。該程式可啟動設備的麥克風和攝影機來記錄環境的音頻和視頻,而無需觸發操作指示燈。在共用存取會話期間,管理面板提供了阻止使用者實體輸入的封鎖按鈕。此功能可防止受害者在嘗試使用滑鼠或鍵盤時打斷網路犯罪分子的操作。內建鍵盤記錄器記錄所有擊鍵並將擊鍵報告傳輸到命令伺服器。
專注於瀏覽器和虛擬錢包的替代
CrystalX RAT 資訊竊取框架致力於擷取基於 Chromium 專案的瀏覽器中儲存的資料。優先目標清單包括最新版本的 Chrome、Yandex 和 Opera。資料收集過程超越了瀏覽器,到達了通訊和娛樂應用程式的會話文件,例如 Steam、Discord 和 Telegram。用於大規模密碼提取的特定模組已被開發人員暫時停用,他們承諾在未來的程式碼更新中重新啟動它。
稱為 Clipper 的元件會默默地持續監視作業系統的剪貼簿。此功能的中心目標是識別與加密貨幣錢包位址相對應的文字模式。一旦軟體在複製過程中偵測到相容的序列,它就會自動將其替換為攻擊者控制的錢包。受害者在沒有註意到貼到目標欄位的資料發生變化的情況下完成了金融交易。
為了確保被盜資訊在傳輸到命令和控制伺服器期間的安全,開發人員實施了強大的加密層。控制面板產生的有效負載經過 zlib 庫的壓縮處理,並受到 ChaCha20 演算法的保護。受感染電腦和伺服器之間的通訊透過 WebSocket 協定進行。這種技術選擇建立了雙向持久連接,無需不斷重新連接,即使在訊號波動的網路中也能保證穩定性。在最初感染時,惡意軟體會傳輸完整的硬體清單以進行追蹤。
視覺破壞工具和直接交互
CrystalX RAT 在地下市場的與眾不同之處在於整合了大量的破壞工具,從技術上講,這些工具被歸類為惡作劇軟體。操作員能夠立即變更桌面桌布並反轉顯示器顯示方向。控制面板還提供重新映射滑鼠按鈕、暫時停用鍵盤操作以及強制電腦突然關閉的命令。這些行為會立即導致使用者的工作環境混亂。
該平台可以發送文字訊息,在受感染電腦的螢幕上開啟互動式對話視窗。該功能在攻擊者和受害者之間建立了直接的、未經請求的聊天通道。操作員有權隱藏桌面圖示、從螢幕上刪除工作列以及阻止開啟工作管理員和命令提示字元。滑鼠遊標也可以遠端操作,在螢幕上自主移動。
這些惡意攻擊功能的存在在軟體商業化方面有兩個策略目的。第一個涉及吸引技術含量較低的買家,他們正在尋找虛擬騷擾或武力展示的工具。第二個目的具有戰術性質,因為視覺幹擾可以起到煙幕彈的作用。當檔案竊取和資料擷取模組在背景運行時,介面中產生的混亂會分散使用者的注意力。
平台上的規避與商業化機制
網路安全專家發現,新威脅與先前的惡意程式(市場上稱為 WebRAT 或 Salat Stealer)之間存在著深刻的結構相似性。這兩個工具在管理面板中共享相同的介面設計,並使用 Go 程式語言開發的原始程式碼。透過機器人操作的自動化銷售系統也遵循相同的操作模式。在秘密論壇上收到有關複製程式碼的批評後,開發人員重新設計了視覺標誌並採用了新的企業名稱。
行銷策略已經從不起眼的平台轉移到影響深遠的網路。創作者經營著一個活躍的 Telegram 頻道,他們在那裡舉辦免費許可證密鑰贈品並發布民意調查,以吸引感興趣的犯罪分子的參與。 YouTube 上的平行頻道用作技術展示,其中的影片展示了受控環境中入侵功能的有效性。該惡意程式的自動可執行產生器提供了高級功能,使防毒公司的工作變得更加困難。保護選項包括:
- 實施地理封鎖以將程式碼執行限制在全球特定區域。
- 整合反調試機制,停止軟體行為的技術分析。
- 虛擬機器檢測系統可防止在安全實驗室環境中運作。
- 持續掃描代理程式並套用繞過本機系統防禦的隱形補丁。
這些混淆層可以在關鍵分發階段以及在受害者電腦上執行的最初幾秒鐘內保護惡意檔案。對於需要隱形工具進行長時間活動的業者來說,技術障礙增加了該產品的商業價值。
攻擊向量和全球分佈場景
目前的遙測記錄表明,感染企圖主要集中在俄羅斯境內。然而,創作者採用的商業模式並沒有為授權購買者建立明確的地理限制。此商業功能允許 CrystalX RAT 存取任何國家/地區的計算機,僅取決於購買該服務的每個營運商的特定目標。研究人員仍在努力繪製最近活動中使用的初始感染媒介。
可執行檔的確切交付方法缺乏明確性,需要企業網路管理員和家庭用戶更加重視。標準技術建議包括使作業系統和日常應用程式始終保持最新的安全包。採用先進的監控解決方案有助於識別異常行為,例如未經授權的遠端存取嘗試和關鍵系統記錄的靜默修改。