Das neue Schadprogramm CrystalX RAT kapert Daten und manipuliert Benutzerbildschirme unter Windows

Conceito de ataque cibernético. Alerta de malware, vírus

Conceito de ataque cibernético. Alerta de malware, vírus -Summit Art Creations/shutterstock.com

Pesquisadores von Information Security haben den Betrieb einer neuen Cybercrime-Plattform kartiert, die als Malware as a Service eingestuft ist. Das Programm mit dem Namen CrystalX RAT integriert Tools zur Fernsteuerung von Geräten, zum stillen Extrahieren von Anmeldeinformationen und zum Ersetzen von Finanztransaktionsadressen. Especialistas von der Firma Kaspersky verfolgte die Kommerzialisierung des Tools, das seit Januar 2026 durch in Telegram strukturierte Vertriebskanäle und auf YouTube veröffentlichte Videodemonstrationen auf dem Untergrundmarkt an Bedeutung gewinnt.

Das von den Entwicklern gewählte Geschäftsmodell ermöglicht es Einzelpersonen mit unterschiedlichem technischem Wissen, die bösartige Infrastruktur zu mieten, indem sie in Kategorien unterteilte Abonnements bezahlen. Die Plattform bietet Käufern ein Control Panel, das auf einer vereinfachten Navigationsoberfläche basiert und von einem automatischen Builder für ausführbare Dateien begleitet wird. Die zentralisierte Essa-Architektur erleichtert die Anpassung des Angreifercodes für gezielte Angriffskampagnen gegen bestimmte Ziele.

Virus – MR SOCCER/Shutterstock.com

Arquitetura Fernsteuerung und Systemüberwachung

Das Hauptmodul für den Fernzugriff gewährt dem Bediener nahezu vollständige Kontrolle über den infizierten Computer. Das Tool ermöglicht die direkte Ausführung von Befehlen im Windows-Zeileninterpreter, wodurch es möglich ist, tiefgreifende Betriebssystemeinstellungen zu ändern. Angreifer können neue bösartige Payloads hochladen und vertrauliche Dokumente herunterladen, während sie frei in Festplattenverzeichnissen surfen. Die Integration mit dem VNC-Protokoll garantiert die Anzeige des Benutzerbildschirms in Echtzeit.

Spionage geht in Richtung der Erfassung physischer Medien, die mit dem Computer verbunden sind. Das Programm aktiviert das Mikrofon und die Kamera des Geräts, um Audio- und Videoaufnahmen der Umgebung aufzuzeichnen, ohne dass die Betriebsleuchten aktiviert werden. Bei Durante-Sitzungen mit gemeinsamem Zugriff bietet das Administrationspanel Sperrschaltflächen, die die physischen Eingaben des Benutzers lahmlegen. Die Funktion verhindert, dass das Opfer die Aktionen des Cyberkriminellen unterbricht, wenn es versucht, die Maus oder Tastatur zu verwenden. Ein integrierter Keylogger zeichnet alle Tastenanschläge auf und übermittelt Tastenanschlagsberichte an den Befehlsserver.

Foco in Browsern und Ersatz virtueller Geldbörsen

Das Informationsdiebstahl-Framework CrystalX RAT konzentriert seine Bemühungen auf die Extraktion von in Browsern gespeicherten Daten basierend auf dem Chromium-Projekt. Die Liste der vorrangigen Ziele umfasst aktuelle Versionen von Chrome sowie Yandex und Opera. Der Datenerfassungsprozess geht über Browser hinaus und erreicht die Sitzungsdateien von Kommunikations- und Unterhaltungsanwendungen wie Steam, Discord und Telegram. Das spezielle Modul zur massiven Passwortextraktion wird von den Entwicklern vorübergehend deaktiviert und verspricht, es in zukünftigen Code-Updates wieder zu aktivieren.

Die als Clipper bekannte Komponente überwacht kontinuierlich die Zwischenablage des Betriebssystems. Das zentrale Ziel dieser Funktion besteht darin, Textmuster zu identifizieren, die Kryptowährungs-Wallet-Adressen entsprechen. Die Assim-Software erkennt während eines Kopiervorgangs eine kompatible Sequenz und ersetzt diese automatisch durch die vom Angreifer kontrollierte Wallet. Das Opfer schließt die Finanztransaktion ab, ohne die Änderung der in das Zielfeld eingefügten Daten zu bemerken.

Para Um die Sicherheit gestohlener Informationen während der Übertragung zu Befehls- und Kontrollservern zu gewährleisten, haben die Entwickler robuste Verschlüsselungsebenen implementiert. Die vom Control Panel generierten Payloads durchlaufen einen Komprimierungsprozess mit der zlib-Bibliothek und werden durch den ChaCha20-Algorithmus geschützt. Die Kommunikation zwischen dem infizierten Computer und dem Server erfolgt über das WebSocket-Protokoll. Die technische Wahl von Essa stellt eine bidirektionale und dauerhafte Verbindung her, die ständige Neuverbindungen überflüssig macht und Stabilität auch in Netzwerken mit Signalschwankungen gewährleistet. Zum Zeitpunkt der Erstinfektion übermittelt die Schadsoftware einen vollständigen Hardware-Inventar zur Nachverfolgung.

Visuelle Störung Ferramentas und direkte Interaktionen

Der Unterschied von CrystalX RAT auf dem Untergrundmarkt liegt in der Integration einer Vielzahl von Störwerkzeugen, die technisch als Prankware klassifiziert werden. Bediener erhalten die Möglichkeit, das Desktop-Hintergrundbild zu ändern und die Ausrichtung der Monitoranzeige sofort umzukehren. Das Bedienfeld bietet außerdem Befehle zum Neubelegen von Maustasten, zum vorübergehenden Deaktivieren der Tastaturbedienung und zum Erzwingen eines abrupten Herunterfahrens des Computers. Essas-Aktionen verursachen sofort Verwirrung auf dem Desktop des Benutzers.

Siehe Auch
  1. Epic Games legt die Frist für die kostenlose Einlösung von Batman und Sunderfolk auf der digitalen Plattform fest
  2. US-Hypothekenzinssatz erreicht Neunmonatshoch, was die Erschwinglichkeit von Wohnraum erneut beeinträchtigt
  3. Komplexe Science-Fiction-Drehbücher zwingen den Zuschauer, fünf Kinowerke zu rezensieren
  4. Arsenal x PSG entscheiden im historischen Duell in Ungarn über den Champions-League-Titel
  5. Spielt Alexander Barboza heute? Wo kann man Independiente Petrolero x Botafogo bei der Südamerikameisterschaft sehen?
  6. Der Sieg der Spurs über Thunder in der NBA sorgt für Nonnen aus Texas, die viral gehen
  7. Deolane Bezerra bestreitet eine Verbindung zur PCC und sagt, sie sei aus purer Verfolgung verhaftet worden
  8. Mercedes dominiert das Qualifying in Kanada mit der Pole von George Russell vor Kimi Antonelli
  9. João Fonseca x Djokovic in Roland Garros wird die nächste Herausforderung des Brasilianers in Frankreich sein
  10. Spielt Diego Enríquez heute? Wo Sie Junior Barranquilla gegen Sporting Cristal in der Copa Libertadores live verfolgen können
  11. Google bietet ein kostenloses Betriebssystem für Windows-PCs an, die nicht von Microsoft unterstützt werden
  12. Der Vorstand von Tottenham beschleunigt die Verhandlungen zur Verpflichtung von Andy Robertson nach seinem Verbleib in der Premier League

Die Plattform ermöglicht das Versenden von Textnachrichten, die interaktive Dialogfenster auf dem Bildschirm der kompromittierten Maschine öffnen. Die Funktion stellt einen direkten, unaufgeforderten Chat-Kanal zwischen dem Angreifer und dem Opfer her. Der Bediener hat die Berechtigung, Desktopsymbole auszublenden, die Taskleiste vom Bildschirm zu entfernen und das Öffnen von Gerenciador von Tarefas und Prompt von Comando zu blockieren. Auch der Mauszeiger kann fernmanipuliert werden und bewegt sich autonom über den Bildschirm.

Das Vorhandensein dieser Trolling-Funktionen dient zwei strategischen Zwecken bei der Kommerzialisierung der Software. Die erste besteht darin, Käufer mit einem weniger technischen Profil anzulocken, die nach Werkzeugen für virtuelle Belästigungen oder Gewaltdemonstrationen suchen. Der zweite Zweck ist taktischer Natur, da Sehstörungen als Nebelwand dienen. Das in der Benutzeroberfläche erzeugte Durcheinander lenkt den Benutzer ab, während die Module zum Datendiebstahl und zur Datenextraktion im Hintergrund arbeiten.

Mecanismos der Umgehung und Kommerzialisierung auf Plattformen

Especialistas im Bereich Cybersicherheit identifizierte tiefe strukturelle Ähnlichkeiten zwischen der neuen Bedrohung und einem früheren Schadprogramm, das auf dem Markt als WebRAT oder Salat Stealer bekannt ist. Ambas-Tools haben das gleiche Schnittstellendesign im Admin-Panel und verwenden Quellcode, der in der Programmiersprache Go entwickelt wurde. Auch das automatisierte Verkaufssystem, das über Bots betrieben wird, folgt dem gleichen Betriebsmuster. Após wurde in geheimen Foren wegen des Kopierens des Codes kritisiert, die Entwickler führten eine Neugestaltung der visuellen Identität durch und übernahmen den neuen Handelsnamen.

Die Marketingstrategie hat sich von obskuren Plattformen zu weitreichenden Netzwerken verlagert. Die Ersteller betreiben einen aktiven Kanal auf Telegram, wo sie kostenlose Lizenzschlüssel-Verlosungen veranstalten und Umfragen veröffentlichen, um interessierte Kriminelle bei der Stange zu halten. Ein paralleler Kanal auf YouTube dient als technisches Schaufenster mit Videos, die die Wirksamkeit von Invasionsfunktionen in kontrollierten Umgebungen demonstrieren. Der automatische ausführbare Builder des Schadprogramms bietet erweiterte Funktionen, die die Arbeit von Antiviren-Unternehmen erschweren. Zu den Schutzoptionen gehören:

  • Geoblocking Implementação, um die Codeausführung auf bestimmte Regionen der Welt zu beschränken.
  • Integração von Anti-Debugging-Mechanismen, die die technische Analyse des Softwareverhaltens stoppen.
  • Sistemas-Erkennung virtueller Maschinen, um die Ausführung in Sicherheitslaborumgebungen zu verhindern.
  • Verificação leitet kontinuierlich Stealth-Patches weiter und wendet sie an, um die nativen Abwehrmaßnahmen des Systems zu umgehen.

Essas-Verschleierungsschichten schützen die schädliche Datei während der kritischen Verteilungsphase und den ersten paar Sekunden der Ausführung auf dem Computer des Opfers. Die technische Barriere erhöht den kommerziellen Wert des Produkts für Betreiber, die für längere Kampagnen Stealth-Tools benötigen.

Vetores-Angriff und globales Verteilungsszenario

Aktuelle Telemetrieaufzeichnungen deuten darauf hin, dass sich Infektionsversuche hauptsächlich auf das Rússia-Gebiet konzentrieren. Das von den Urhebern gewählte Geschäftsmodell sieht jedoch keine endgültigen geografischen Beschränkungen für Lizenzkäufer vor. Die kommerzielle Funktion Essa ermöglicht es CrystalX RAT, Computer in jedem Land zu erreichen, abhängig von den spezifischen Zielen jedes Betreibers, der den Dienst kauft. Forscher arbeiten immer noch daran, den ursprünglichen Infektionsvektor zu kartieren, der in den jüngsten Kampagnen verwendet wurde.

Der Mangel an Klarheit hinsichtlich der genauen Bereitstellungsmethode der ausführbaren Datei erfordert erhöhte Aufmerksamkeit von Unternehmensnetzwerkadministratoren und Heimanwendern. Bei der technischen Standardberatung geht es darum, Betriebssysteme und alltägliche Anwendungen stets auf dem neuesten Stand der Sicherheitspakete zu halten. Der Einsatz fortschrittlicher Überwachungslösungen hilft dabei, anomales Verhalten zu erkennen, wie z. B. unbefugte Fernzugriffsversuche und stille Änderungen an kritischen Systemdatensätzen.

Tags: Abonnement-MalwareCrystalx-RatteCybersicherheitDatendiebstahlKaspersky
Siehe Auch
  1. Bei einem russischen Drohnenangriff werden zwei Personen auf ein Gebäude in Rumänien verletzt und der NATO-Luftraum verletzt
  2. Am Wochenende erscheint ein seltener blauer Mikromond; Der nächste Auftritt wird erst im Dezember 2028 sein
  3. Natália Guimarães thematisiert Schönheitsstandards und weibliche Vielfalt fast 20 Jahre nach Miss Universe
  4. Die Explosion der New Glenn-Rakete von Blue Origin erfolgt während eines Heißfeuertests in Cape Canaveral, Florida
  5. Die San Antonio Spurs führen im dritten Viertel die Oklahoma City Thunder an und kämpfen darum, Spiel 7 zu erzwingen
  6. Die San Antonio Spurs halten die Oklahoma City Thunder zurück und behalten ihre Führung im dritten Viertel der Playoffs
  7. Die San Antonio Spurs besiegen im dritten Viertel die Oklahoma City Thunder und versuchen, Spiel sieben in der NBA zu erzwingen
  8. Thunder vs Spurs NBA: San Antonio Spurs behalten im 3. Viertel des Live-Spiels ihren Vorsprung vor Oklahoma City Thunder 70-60
  9. Einstufung super! Sinisterra erzielt zwischen Cruzeiro und Barcelona SC in den Libertadores einen 3:0-Erfolg
  10. Taifun Chanmi rückt mit großer Wucht auf Okinawa zu und nähert sich im Juni Japan
  11. Clemente Montes schießt ein tolles Tor und weckt die Eule in Boca Juniors x Universidad Católica in den Libertadores
  12. Mit einer 1:4-Niederlage bei Junior Barranquilla zieht Palmeiras ins Achtelfinale der Libertadores ein
  13. Matheus Pereira erzielt einen großartigen Kopfball und eröffnet den Torreigen zwischen Cruzeiro und Barcelona SC in Libertadores 2026
  14. Der Schöpfer von The Witcher 3 veröffentlicht The Blood of Dawnwalker im September für Konsolen und PC
  15. Das Samsung Galaxy A57 5G kommt mit reduzierter Dicke und Fokus auf Energieeffizienz auf den Markt
  16. Sonys Break-In-Markenregistrierung befeuert Theorien über Uncharted in State of Play
  17. Eine beispiellose Hitzewelle führt in mehreren europäischen Ländern zu Rekordtemperaturen
  18. Anthropic Valuation erreicht 965 Milliarden US-Dollar und übertrifft OpenAI im KI-Rennen
  19. Das US-Gericht weigert sich, Trumps Anordnung zur Briefwahl zu blockieren, lässt aber neue Anfechtungen zu
  20. Nintendo Switch 2 erreicht in Japan 247.880 verkaufte Einheiten und dominiert den Markt vom 18. bis 24. Mai
  21. Meta führt Plus-Abonnements für Instagram, WhatsApp und Facebook ein; neue Funktionen und Preise verstehen
  22. Die Sonnenfinsternis von 2027 wird eine maximale Dauer von 6 Minuten haben; Dieses Phänomen hat sich in 157 Jahren nicht wiederholt
  23. Francisco Cerundolo und Juan Manuel Cerundolo besiegen ihre Gegner und erreichen ein beispielloses Stadium für die Familie in Roland Garros
  24. Details zum 8,8-Zoll-OLED-Tablet von OnePlus sind durchgesickert, was auf einen Premium-Snapdragon-Chip hindeutet
  25. Nintendo kündigt die Veröffentlichung des N64-Klassikers Donkey Kong 64 für Switch Online am 4. Juni an