Содержание
Касперский предупредил о CrystalX RAT — новом malware-as-a-service, который совмещает удалённый доступ, кражу данных и набор «пранков». В арсенале не только шпионаж и стилер, но и функции, которые буквально издеваются над жертвой — от подмены обоев до окна чата с атакующим.
Исследователи описывают CrystalX RAT как платформу, близкую по подходу к WebRAT. При этом авторы сделали ставку на «шумные» фичи и активное продвижение. По оценке команды Kaspersky GReAT, из-за PR-кампании число жертв может быстро вырасти.
CrystalX RAT делает «360-градусный» взлом и добавляет пранки
По данным Kaspersky, CrystalX RAT закрывает почти весь набор задач, который обычно ждут от RAT и стилера. Он умеет захватывать управление системой, вытаскивать учётки и следить за пользователем через камеру и микрофон.
Функции удалённого контроля включают выполнение команд, загрузку и выгрузку файлов, просмотр файловой системы, управление машиной в реальном времени и принудительное выключение ПК.
- Keylogging: перехват нажатий клавиш
- Clipboard jacking: перехват и подмена данных из буфера обмена
- Кража данных браузера: извлечение сохранённых данных
- Кража данных приложений: Steam, Discord, Telegram
Для слежки CrystalX RAT поддерживает захват видео с камеры и запись аудио с микрофона.
Отдельная часть — «prankware». В списке Kaspersky: смена обоев, поворот экрана под разными углами, показ фейковых уведомлений, смещение курсора, скрытие иконок, панели задач, Диспетчера задач и исполняемого файла Command Prompt, а также переназначение кнопок мыши.
И ещё один штрих, который делает историю неприятнее: CrystalX RAT даёт окно чата «атакующий-жертва». Через него злоумышленник может дразнить, угрожать или требовать деньги.
Продвижение через Telegram и YouTube, модель подписки и защита от анализа
Kaspersky описывает CrystalX RAT как сервис с моделью подписки и несколькими тарифами. Стоимость подписки исследователи не назвали. Основным каналом продвижения называют Telegram. Дополнительно сервис рекламируют через YouTube-канал, где показывают возможности вредоноса.
По версии Kaspersky, «пранки» тут не случайны. Такой набор выделяет продукт среди других MaaS и упрощает продажу новичкам.
- Geoblocking: ограничения по географии
- Кастомизация исполняемого файла: настройка сборки под задачу
- Anti-debugging: защита от отладки
- VM detection: детект виртуальных машин
Кто в зоне риска и сколько уже пострадавших
Kaspersky считает, что CrystalX RAT в первую очередь нацелен на «script kiddies» и начинающих злоумышленников. Отсюда агрессивный маркетинг и «пранковая» часть. Но жертвам от этого не легче: функциональность закрывает и кражу данных, и полный удалённый контроль.
Как именно пользователи заражаются, пока неясно. Kaspersky допускает социальную инженерию через фейковые кряки, «премиум-сервисы», активаторы и похожие приманки.
Сейчас, по словам Леонида Безвершенко, старшего исследователя безопасности в Kaspersky GReAT, CrystalX RAT «уже затрагивает десятки жертв», а пострадавшие преимущественно находятся в России.
Безвершенко также подчёркивает риск вторичного использования украденных данных: «Such a diverse feature set effectively enables a 360-degree compromise of the victim and a complete loss of privacy. Beyond gaining access to account credentials, the stolen data could potentially be used for blackmail». По-русски: такой набор функций даёт полный компромисс устройства и потерю приватности, а украденные данные могут использовать для шантажа.
Технические детали и примеры функциональности Kaspersky опубликовал в разборе CrystalX RAT на Securelist, где отдельно отмечены «пранковые» функции и продвижение сервиса по подписке.
