Ultimele Știri (RO)

Noul program rău intenționat CrystalX RAT deturnează datele și manipulează ecranele utilizatorilor pe Windows

De Redação Mix Vale 26 mai 2026 8 min de leitura
WhatsApp Twitter Facebook Seguir no Google E-mail
Conceito de ataque cibernético. Alerta de malware, vírus
Foto: Conceito de ataque cibernético. Alerta de malware, vírus -Summit Art Creations/shutterstock.com

Pesquisadores de la securitatea informațiilor au cartografiat funcționarea unei noi platforme de criminalitate cibernetică clasificată drept malware ca serviciu. Programul, numit CrystalX RAT, integrează instrumente pentru controlul dispozitivelor de la distanță, extragerea silențioasă a acreditărilor și înlocuirea adreselor tranzacțiilor financiare. Especialistas de la compania Kaspersky a urmărit comercializarea instrumentului, care a luat amploare pe piața subterană din ianuarie 2026 prin canale de vânzare structurate în Telegram și demonstrații video publicate pe YouTube.

Modelul de afaceri adoptat de dezvoltatori permite persoanelor cu diferite niveluri de cunoștințe tehnice să închirieze infrastructura rău intenționată prin plata unor abonamente împărțite pe categorii. Platforma oferă cumpărătorilor un panou de control bazat pe o interfață de navigare simplificată, însoțită de un constructor automat de fișiere executabile. Arhitectura centralizată Essa facilitează personalizarea codului atacatorului pentru campanii de atac direcționate împotriva unor ținte specifice.

virus
virus – MR SOCCER/Shutterstock.com

Arquitetura telecomandă și monitorizare a sistemului

Modulul principal de acces la distanță oferă operatorului control aproape complet asupra mașinii infectate. Instrumentul permite executarea directă a comenzilor în interpretul de linie Windows, ceea ce face posibilă modificarea setărilor profunde ale sistemului de operare. Atacatorii pot încărca noi încărcări utile rău intenționate și pot descărca documente sensibile în timp ce navighează liber în directoarele de pe hard disk. Integrarea cu protocolul VNC garantează vizualizarea ecranului utilizatorului în timp real.

Spionajul se îndreaptă spre capturarea mediilor fizice conectate la computer. Programul activează microfonul și camera aparatului pentru a înregistra audio și video din mediu fără a declanșa indicatoarele luminoase de funcționare. Durante sesiuni de acces partajat, panoul de administrare oferă butoane de blocare care paralizează intrările fizice ale utilizatorului. Caracteristica împiedică victima să întrerupă acțiunile infractorului cibernetic atunci când încearcă să folosească mouse-ul sau tastatura. Un keylogger încorporat înregistrează toate apăsările de taste și transmite rapoarte de apăsare de taste către serverul de comandă.

Foco în browsere și înlocuirea portofelelor virtuale

Cadrul de furt de informații CrystalX RAT își direcționează eforturile către extragerea datelor stocate în browsere pe baza proiectului Chromium. Lista țintelor prioritare include versiunile recente ale Chrome, precum și Yandex și Opera. Procesul de colectare a datelor depășește browserele și ajunge la fișierele de sesiune ale aplicațiilor de comunicare și divertisment precum Steam, Discord și Telegram. Modulul specific pentru extragerea masivă a parolelor este dezactivat temporar de către dezvoltatori, care promit să-l reactiveze în viitoarele actualizări de cod.

Componenta cunoscută sub numele de clipper acționează silențios pentru a monitoriza continuu clipboard-ul sistemului de operare. Obiectivul central al acestei funcții este identificarea tiparelor de text care corespund adreselor portofelului de criptomonede. Software-ul Assim detectează o secvență compatibilă în timpul unui proces de copiere, o înlocuiește automat cu portofelul controlat de atacator. Victima finalizează tranzacția financiară fără a observa modificarea datelor lipite în câmpul destinație.

Para Pentru a asigura securitatea informațiilor furate în timpul tranzitului către serverele de comandă și control, dezvoltatorii au implementat straturi robuste de criptare. Sarcinile utile generate de panoul de control sunt supuse unui proces de compresie cu biblioteca zlib și sunt protejate de algoritmul ChaCha20. Comunicarea între mașina infectată și server are loc prin protocolul WebSocket. Alegerea tehnică Essa stabilește o conexiune bidirecțională și persistentă, care elimină necesitatea reconectărilor constante și garantează stabilitate chiar și în rețelele cu fluctuații de semnal. În momentul infecției inițiale, malware-ul transmite un inventar complet de hardware în scopul urmăririi.

Tulburări vizuale Ferramentas și interacțiuni directe

Diferența CrystalX RAT pe piața subterană constă în integrarea unui set vast de instrumente de perturbare, clasificate din punct de vedere tehnic drept farsă. Operatorii câștigă capacitatea de a schimba imaginea de fundal de pe desktop și de a inversa instantaneu orientarea afișajului monitorului. Panoul de control oferă, de asemenea, comenzi pentru a remapa butoanele mouse-ului, a dezactiva temporar operarea tastaturii și a forța computerul să se închidă brusc. Acțiunile Essas provoacă confuzie imediată pe desktopul utilizatorului.

Leia Tambem
Nissan dezvăluie o actualizare a SUV-ului Kicks e-POWER cu sistem hibrid la Salonul Auto de la Bangkok 2026

Nissan dezvăluie o actualizare a SUV-ului Kicks e-POWER cu sistem hibrid la Salonul Auto de la Bangkok 2026

Xiaomi începe vânzările smartphone-ului POCO X8 Pro pe piața braziliană cu o baterie de 6.500 mAh și cadouri

Xiaomi începe vânzările smartphone-ului POCO X8 Pro pe piața braziliană cu o baterie de 6.500 mAh și cadouri

Calendarul astronomic august 2026 înregistrează eclipsa totală de soare și fenomenul lunar parțial

Calendarul astronomic august 2026 înregistrează eclipsa totală de soare și fenomenul lunar parțial

Platforma face posibilă trimiterea de mesaje text care deschid ferestre de dialog interactive pe ecranul mașinii compromise. Caracteristica stabilește un canal de chat direct, nesolicitat, între atacator și victimă. Operatorul are permisiuni de a ascunde pictogramele de pe desktop, de a elimina bara de activități de pe ecran și de a bloca deschiderea Gerenciador de la Tarefas și Prompt de la Comando. Cursorul mouse-ului este, de asemenea, supus unei manipulări de la distanță, mișcându-se autonom pe ecran.

Prezența acestor funcții de trolling servește la două scopuri strategice în comercializarea software-ului. Prima presupune atragerea de cumpărători cu un profil mai puțin tehnic, care caută instrumente de hărțuire virtuală sau demonstrații de forță. Al doilea scop are o natură tactică, deoarece tulburările vizuale servesc drept cortină de fum. Dezordinea generată în interfață distrage utilizatorul în timp ce modulele de furt de fișiere și de extragere a datelor funcționează în fundal.

Mecanismos de evaziune și comercializare pe platforme

Especialistas în securitatea cibernetică a identificat asemănări structurale profunde între noua amenințare și un program rău intenționat anterior, cunoscut pe piață ca WebRAT sau Salat Stealer. Instrumentele Ambas au același design de interfață în panoul de administrare și folosesc cod sursă dezvoltat în limbajul de programare Go. Sistemul automat de vânzări, operat prin boți, urmează, de asemenea, același tipar de funcționare. Após a primit critici pe forumurile clandestine cu privire la copierea codului, dezvoltatorii au efectuat o reproiectare a identității vizuale și au adoptat noul nume comercial.

Strategia de marketing a migrat de la platforme obscure la rețele de anvergură. Creatorii rulează un canal activ pe Telegram, unde găzduiesc cadouri gratuite de chei de licență și postează sondaje pentru a-i menține implicați pe criminalii interesați. Un canal paralel pe YouTube servește ca o vitrină tehnică, cu videoclipuri care demonstrează eficiența funcțiilor de invazie în medii controlate. Generatorul automat de executabile al programului rău intenționat oferă caracteristici avansate pentru a îngreuna munca companiilor antivirus. Opțiunile de protecție includ:

  • Geo-blocarea Implementação pentru a restricționa execuția codului la anumite regiuni ale globului.
  • Integração de mecanisme anti-depanare care opresc analiza tehnică a comportamentului software-ului.
  • Detectarea mașinii virtuale Sistemas pentru a preveni execuția în mediile de laborator de securitate.
  • Verificação folosește continuu proxy și aplică patch-uri ascunse care ocolesc apărarea nativă a sistemului.

Straturile de ofuscare Essas protejează fișierul rău intenționat în timpul fazei critice de distribuție și în primele secunde de execuție pe computerul victimei. Bariera tehnică crește valoarea comercială a produsului în rândul operatorilor care au nevoie de instrumente ascunse pentru campanii prelungite.

Atacul Vetores și scenariul de distribuție globală

Înregistrările actuale de telemetrie indică faptul că încercările de infecție sunt concentrate în cea mai mare parte pe teritoriul Rússia. Modelul de afaceri adoptat de creatori, însă, nu stabilește restricții geografice definitive pentru cumpărătorii de licențe. Caracteristica comercială Essa permite CrystalX RAT să ajungă la computere din orice țară, în funcție doar de obiectivele specifice ale fiecărui operator care achiziționează serviciul. Cercetătorii încă lucrează pentru a mapa vectorul inițial de infecție utilizat în cele mai recente campanii.

Lipsa de claritate cu privire la metoda exactă de livrare a fișierului executabil necesită o atenție sporită din partea administratorilor de rețele corporative și a utilizatorilor casnici. Consilierea tehnică standard implică menținerea sistemelor de operare și a aplicațiilor de zi cu zi mereu la zi cu cele mai recente pachete de securitate. Adoptarea soluțiilor avansate de monitorizare ajută la identificarea comportamentelor anormale, cum ar fi încercările neautorizate de acces la distanță și modificările silențioase ale înregistrărilor critice ale sistemului.