Pesquisadores från informationssäkerhet har kartlagt driften av en ny cyberbrottsplattform klassad som malware as a service. Programmet, kallat CrystalX RAT, integrerar verktyg för fjärrstyrning av enheter, tyst extrahering av referenser och ersättning av finansiella transaktionsadresser. Especialistas från företaget Kaspersky spårade kommersialiseringen av verktyget, som har fått draghjälp på underjordsmarknaden sedan januari 2026 genom försäljningskanaler strukturerade i Telegram och videodemonstrationer publicerade på YouTube.
Affärsmodellen som utvecklarna antagit tillåter individer med olika nivåer av teknisk kunskap att hyra den skadliga infrastrukturen genom att betala prenumerationer indelade i kategorier. Plattformen ger köpare en kontrollpanel baserad på ett förenklat navigeringsgränssnitt, tillsammans med en automatisk byggare av körbara filer. Essa centraliserad arkitektur underlättar anpassning av angriparkod för riktade attackkampanjer mot specifika mål.
Arquitetura fjärrkontroll och systemövervakning
Huvudmodulen för fjärråtkomst ger operatören nästan fullständig kontroll över den infekterade maskinen. Verktyget tillåter direkt exekvering av kommandon i linjetolken Windows, vilket gör det möjligt att ändra djupa operativsysteminställningar. Angripare kan ladda upp nya skadliga nyttolaster och ladda ner känsliga dokument medan de fritt bläddrar i hårddiskkataloger. Integration med VNC-protokollet garanterar visning av användarens skärm i realtid.
Spionage går mot att fånga fysiska medier anslutna till datorn. Programmet aktiverar enhetens mikrofon och kamera för att spela in ljud och video från omgivningen utan att utlösa driftsljusindikatorer. Durante delade åtkomstsessioner, administrationspanelen tillhandahåller blockeringsknappar som förlamar användarens fysiska inmatningar. Funktionen hindrar offret från att avbryta cyberbrottslingens handlingar när han försöker använda musen eller tangentbordet. En inbyggd tangentlogger registrerar alla tangenttryckningar och sänder tangenttryckningsrapporter till kommandoservern.
Foco i webbläsare och byte av virtuella plånböcker
CrystalX RAT-ramverket för informationsstöld riktar sina ansträngningar mot att extrahera data som lagras i webbläsare baserat på Chromium-projektet. Listan över prioriterade mål inkluderar de senaste versionerna av Chrome, såväl som Yandex och Opera. Datainsamlingsprocessen går utöver webbläsare och når sessionsfilerna för kommunikations- och underhållningsapplikationer som Steam, Discord och Telegram. Den specifika modulen för massiv lösenordsextraktion avaktiveras tillfälligt av utvecklarna, som lovar att återaktivera den i framtida koduppdateringar.
Komponenten som kallas clipper fungerar tyst för att kontinuerligt övervaka operativsystemets urklipp. Det centrala syftet med denna funktion är att identifiera textmönster som motsvarar kryptovaluta-plånboksadresser. Assim-programvaran upptäcker en kompatibel sekvens under en kopieringsprocess, den ersätter den automatiskt med den plånbok som kontrolleras av angriparen. Offret slutför den finansiella transaktionen utan att märka förändringen i data som klistrats in i destinationsfältet.
Para För att säkerställa säkerheten för stulen information under överföring till kommando- och kontrollservrar, implementerade utvecklarna robusta lager av kryptering. Nyttolasterna som genereras av kontrollpanelen genomgår en komprimeringsprocess med zlib-biblioteket och skyddas av ChaCha20-algoritmen. Kommunikation mellan den infekterade maskinen och servern sker via WebSocket-protokollet. Essa tekniska val etablerar en dubbelriktad och beständig anslutning, vilket eliminerar behovet av ständiga återanslutningar och garanterar stabilitet även i nätverk med signalfluktuationer. Vid tidpunkten för den första infektionen sänder den skadliga programvaran en komplett maskinvaruinventering för spårningsändamål.
Visuell störning Ferramentas och direkta interaktioner
CrystalX RAT:s skillnad på den underjordiska marknaden ligger i integrationen av en stor uppsättning avbrottsverktyg, tekniskt klassificerade som prankware. Operatörer får möjlighet att ändra skrivbordsunderlägget och vända skärmens visningsorientering direkt. Kontrollpanelen erbjuder också kommandon för att mappa om musknappar, tillfälligt inaktivera tangentbordsdrift och tvinga datorn att stängas av abrupt. Essas-åtgärder orsakar omedelbar förvirring på användarens skrivbord.
Plattformen gör det möjligt att skicka textmeddelanden som öppnar interaktiva dialogfönster på den komprometterade maskinens skärm. Funktionen upprättar en direkt, oönskad chattkanal mellan angriparen och offret. Operatören har behörighet att dölja skrivbordsikoner, ta bort aktivitetsfältet från skärmen och blockera Gerenciador från Tarefas och Prompt från Comando från att öppnas. Muspekaren genomgår också fjärrmanipulation och rör sig självständigt över skärmen.
Närvaron av dessa trollingfunktioner tjänar två strategiska syften i kommersialiseringen av programvaran. Den första handlar om att locka köpare med en mindre teknisk profil, som letar efter verktyg för virtuella trakasserier eller demonstrationer av våld. Det andra syftet har en taktisk karaktär, eftersom synstörningar fungerar som en rökridå. Skräpet som genereras i gränssnittet distraherar användaren medan modulerna för filstöld och dataextraktion fungerar i bakgrunden.
Mecanismos av skatteflykt och kommersialisering på plattformar
Especialistas inom cybersäkerhet identifierade djupa strukturella likheter mellan det nya hotet och ett tidigare skadligt program, känt på marknaden som WebRAT eller Salat Stealer. Ambas-verktyg delar samma gränssnittsdesign i adminpanelen och använder källkod utvecklad i programmeringsspråket Go. Det automatiserade försäljningssystemet, som drivs genom bots, följer också samma driftsmönster. Após fick kritik i hemliga forum om att kopiera koden, utvecklarna genomförde en omdesign av den visuella identiteten och antog det nya kommersiella namnet.
Marknadsstrategin har migrerat från obskyra plattformar till långtgående nätverk. Skaparna driver en aktiv kanal på Telegram, där de är värd för gratis licensnyckelutdelningar och postar omröstningar för att hålla intresserade kriminella engagerade. En parallell kanal på YouTube fungerar som ett tekniskt skyltfönster, med videor som visar effektiviteten av invasionsfunktioner i kontrollerade miljöer. Det skadliga programmets automatiska körbara byggare levererar avancerade funktioner för att försvåra arbetet för antivirusföretag. Skyddsalternativ inkluderar:
- Geoblockering av Implementação för att begränsa exekvering av kod till specifika regioner i världen.
- Integração av anti-felsökningsmekanismer som stoppar teknisk analys av mjukvarans beteende.
- Sistemas virtuell maskindetektering för att förhindra exekvering i säkerhetslabbmiljöer.
- Verificação proxiar kontinuerligt och applicerar stealth-patchar som kringgår systemets inbyggda försvar.
Essas fördunklingslager skyddar den skadliga filen under den kritiska distributionsfasen och de första sekunderna av exekvering på offrets dator. Den tekniska barriären ökar produktens kommersiella värde bland operatörer som behöver smygverktyg för långvariga kampanjer.
Vetores attack och global distribution scenario
Aktuella telemetriposter indikerar att infektionsförsök mestadels är koncentrerade till Rússia-territoriet. Affärsmodellen som skapats av skaparna fastställer dock inga definitiva geografiska begränsningar för licensköpare. Essas kommersiella funktion gör att CrystalX RAT kan nå datorer i alla länder, endast beroende på de specifika målen för varje operatör som köper tjänsten. Forskare arbetar fortfarande med att kartlägga den initiala infektionsvektor som användes i de senaste kampanjerna.
Otydligheten angående den exakta leveransmetoden för den körbara filen kräver ökad uppmärksamhet från företagsnätverksadministratörer och hemanvändare. Standard teknisk rådgivning innebär att alltid hålla operativsystem och vardagliga applikationer uppdaterade med de senaste säkerhetspaketen. Att använda avancerade övervakningslösningar hjälper till att identifiera avvikande beteenden, såsom obehöriga försök till fjärråtkomst och tysta ändringar av kritiska systemregister.