Các nhà nghiên cứu bảo mật thông tin đã lập bản đồ hoạt động của một nền tảng tội phạm mạng mới được phân loại là phần mềm độc hại dưới dạng dịch vụ. Chương trình có tên CrystalX RAT, tích hợp các công cụ để điều khiển thiết bị từ xa, trích xuất thông tin xác thực một cách im lặng và thay thế địa chỉ giao dịch tài chính. Các chuyên gia của công ty Kaspersky đã theo dõi quá trình thương mại hóa công cụ này, công cụ này đã thu hút được sự chú ý trên thị trường ngầm kể từ tháng 1 năm 2026 thông qua các kênh bán hàng có cấu trúc trên Telegram và các video trình diễn được xuất bản trên YouTube.
Mô hình kinh doanh được các nhà phát triển áp dụng cho phép các cá nhân có trình độ hiểu biết kỹ thuật khác nhau thuê cơ sở hạ tầng độc hại bằng cách trả tiền đăng ký được chia thành các danh mục. Nền tảng này cung cấp cho người mua bảng điều khiển dựa trên giao diện điều hướng được đơn giản hóa, kèm theo trình tạo tự động các tệp thực thi. Kiến trúc tập trung này giúp dễ dàng tùy chỉnh mã tấn công cho các chiến dịch tấn công có chủ đích nhằm vào các mục tiêu cụ thể.
Kiến trúc điều khiển từ xa và giám sát hệ thống
Mô-đun truy cập từ xa chính cấp cho người vận hành quyền kiểm soát gần như hoàn toàn đối với máy bị nhiễm. Công cụ này cho phép thực thi trực tiếp các lệnh trong trình thông dịch dòng Windows, giúp có thể thay đổi cài đặt sâu của hệ điều hành. Những kẻ tấn công có thể tải lên các tải trọng độc hại mới và tải xuống các tài liệu nhạy cảm trong khi thoải mái duyệt các thư mục ổ cứng. Việc tích hợp với giao thức VNC đảm bảo việc xem màn hình của người dùng trong thời gian thực.
Hoạt động gián điệp hướng tới việc thu thập phương tiện vật lý được kết nối với máy tính. Chương trình kích hoạt micrô và camera của thiết bị để ghi lại âm thanh và video về môi trường mà không kích hoạt đèn báo hoạt động. Trong các phiên truy cập được chia sẻ, bảng quản trị cung cấp các nút chặn làm tê liệt hoạt động nhập vật lý của người dùng. Tính năng này ngăn nạn nhân làm gián đoạn hành động của tội phạm mạng khi cố gắng sử dụng chuột hoặc bàn phím. Keylogger tích hợp sẽ ghi lại tất cả các lần gõ phím và truyền báo cáo về lần gõ phím đến máy chủ chỉ huy.
Tập trung vào trình duyệt và thay thế ví ảo
Khung đánh cắp thông tin CrystalX RAT hướng nỗ lực của mình vào việc trích xuất dữ liệu được lưu trữ trong các trình duyệt dựa trên dự án Chrome. Danh sách các mục tiêu ưu tiên bao gồm các phiên bản Chrome gần đây, cũng như Yandex và Opera. Quá trình thu thập dữ liệu vượt ra ngoài trình duyệt và tiếp cận các tệp phiên của các ứng dụng liên lạc và giải trí, chẳng hạn như Steam, Discord và Telegram. Mô-đun cụ thể để trích xuất mật khẩu lớn tạm thời bị các nhà phát triển vô hiệu hóa, họ hứa sẽ kích hoạt lại nó trong các bản cập nhật mã trong tương lai.
Thành phần được gọi là clipper hoạt động âm thầm để liên tục theo dõi bảng nhớ tạm của hệ điều hành. Mục tiêu chính của chức năng này là xác định các mẫu văn bản tương ứng với địa chỉ ví tiền điện tử. Ngay khi phần mềm phát hiện chuỗi tương thích trong quá trình sao chép, nó sẽ tự động thay thế chuỗi đó bằng ví do kẻ tấn công kiểm soát. Nạn nhân hoàn tất giao dịch tài chính mà không nhận thấy sự thay đổi trong dữ liệu được dán vào trường đích.
Để đảm bảo tính bảo mật của thông tin bị đánh cắp trong quá trình chuyển đến máy chủ chỉ huy và kiểm soát, các nhà phát triển đã triển khai các lớp mã hóa mạnh mẽ. Tải trọng do bảng điều khiển tạo ra trải qua quá trình nén bằng thư viện zlib và được bảo vệ bằng thuật toán ChaCha20. Giao tiếp giữa máy bị nhiễm và máy chủ xảy ra thông qua giao thức WebSocket. Lựa chọn kỹ thuật này thiết lập kết nối hai chiều và liên tục, giúp loại bỏ nhu cầu kết nối lại liên tục và đảm bảo sự ổn định ngay cả trong các mạng có tín hiệu dao động. Tại thời điểm lây nhiễm ban đầu, phần mềm độc hại truyền bản kiểm kê phần cứng hoàn chỉnh cho mục đích theo dõi.
Công cụ gián đoạn thị giác và tương tác trực tiếp
Sự khác biệt của CrystalX RAT trên thị trường ngầm nằm ở việc tích hợp một bộ công cụ phá hoại khổng lồ, về mặt kỹ thuật được phân loại là phần mềm chơi khăm. Người vận hành có thể thay đổi hình nền máy tính và đảo ngược hướng hiển thị màn hình ngay lập tức. Bảng điều khiển cũng cung cấp các lệnh để ánh xạ lại các nút chuột, tạm thời vô hiệu hóa thao tác bàn phím và buộc máy tính tắt đột ngột. Những hành động này gây nhầm lẫn ngay lập tức trong môi trường làm việc của người dùng.
Nền tảng này cho phép gửi tin nhắn văn bản mở các cửa sổ hộp thoại tương tác trên màn hình của máy bị xâm nhập. Tính năng này thiết lập một kênh trò chuyện trực tiếp, không theo yêu cầu giữa kẻ tấn công và nạn nhân. Người vận hành có quyền ẩn các biểu tượng trên màn hình, xóa thanh tác vụ khỏi màn hình và chặn việc mở Trình quản lý tác vụ và Dấu nhắc lệnh. Con trỏ chuột cũng trải qua quá trình thao tác từ xa, di chuyển tự động trên màn hình.
Sự hiện diện của các chức năng trolling này phục vụ hai mục đích chiến lược trong việc thương mại hóa phần mềm. Cách đầu tiên liên quan đến việc thu hút những người mua có ít hiểu biết về kỹ thuật hơn, những người đang tìm kiếm các công cụ để quấy rối ảo hoặc biểu dương vũ lực. Mục đích thứ hai có tính chất chiến thuật, vì sự xáo trộn thị giác đóng vai trò như một màn khói. Sự lộn xộn tạo ra trong giao diện khiến người dùng mất tập trung trong khi các mô-đun đánh cắp tệp và trích xuất dữ liệu hoạt động ở chế độ nền.
Cơ chế trốn tránh và thương mại hóa trên nền tảng
Các chuyên gia an ninh mạng đã xác định những điểm tương đồng sâu sắc về cấu trúc giữa mối đe dọa mới và một chương trình độc hại trước đó, được biết đến trên thị trường với tên gọi WebRAT hoặc Salat Stealer. Cả hai công cụ đều có chung thiết kế giao diện trong bảng quản trị và sử dụng mã nguồn được phát triển bằng ngôn ngữ lập trình Go. Hệ thống bán hàng tự động, được vận hành thông qua bot, cũng tuân theo mô hình hoạt động tương tự. Sau khi nhận được những lời chỉ trích trên các diễn đàn bí mật về việc sao chép mã, các nhà phát triển đã cải tổ lại nhận dạng hình ảnh và sử dụng tên doanh nghiệp mới.
Chiến lược tiếp thị đã chuyển từ các nền tảng ít người biết đến sang các mạng lưới sâu rộng. Những người sáng tạo điều hành một kênh Telegram đang hoạt động, nơi họ tổ chức các quà tặng mã cấp phép miễn phí và đăng các cuộc thăm dò để thu hút những tên tội phạm quan tâm. Một kênh song song trên YouTube đóng vai trò là nơi giới thiệu kỹ thuật với các video chứng minh tính hiệu quả của chức năng xâm nhập trong môi trường được kiểm soát. Trình xây dựng thực thi tự động của chương trình độc hại cung cấp các tính năng nâng cao khiến công việc của các công ty chống vi-rút trở nên khó khăn hơn. Các tùy chọn bảo vệ bao gồm:
- Đã triển khai tính năng chặn địa lý để hạn chế việc thực thi mã ở các khu vực cụ thể trên toàn cầu.
- Tích hợp các cơ chế chống gỡ lỗi giúp dừng phân tích kỹ thuật về hành vi của phần mềm.
- Hệ thống phát hiện máy ảo để ngăn chặn việc chạy trong môi trường phòng thí nghiệm bảo mật.
- Quét liên tục các proxy và áp dụng các bản vá ẩn giúp vượt qua hệ thống phòng thủ gốc.
Các lớp che giấu này bảo vệ tệp độc hại trong giai đoạn phân phối quan trọng và vài giây thực thi đầu tiên trên máy của nạn nhân. Rào cản kỹ thuật làm tăng giá trị thương mại của sản phẩm giữa các nhà khai thác yêu cầu công cụ tàng hình cho các chiến dịch kéo dài.
Các vectơ tấn công và kịch bản phân phối toàn cầu
Hồ sơ đo từ xa hiện tại cho thấy các nỗ lực lây nhiễm chủ yếu tập trung ở lãnh thổ Nga. Tuy nhiên, mô hình kinh doanh được người sáng tạo áp dụng không đặt ra các hạn chế rõ ràng về mặt địa lý đối với người mua giấy phép. Tính năng thương mại này cho phép CrystalX RAT tiếp cận máy tính ở bất kỳ quốc gia nào, chỉ tùy thuộc vào mục tiêu cụ thể của từng nhà khai thác mua dịch vụ. Các nhà nghiên cứu vẫn đang nỗ lực lập bản đồ vectơ lây nhiễm ban đầu được sử dụng trong các chiến dịch gần đây nhất.
Việc thiếu sự rõ ràng về phương thức phân phối chính xác của tệp thực thi đòi hỏi phải tăng cường sự chú ý từ các quản trị viên mạng công ty và người dùng gia đình. Lời khuyên kỹ thuật tiêu chuẩn liên quan đến việc giữ cho hệ điều hành và ứng dụng hàng ngày luôn cập nhật các gói bảo mật mới nhất. Việc áp dụng các giải pháp giám sát nâng cao giúp xác định các hành vi bất thường, chẳng hạn như các nỗ lực truy cập từ xa trái phép và sửa đổi thầm lặng các bản ghi hệ thống quan trọng.