Новиот малициозен софтвер CrystalRAT додава функции RAT, stealer и prankware

Новиот malware-as-a-service (MaaS) наречен CrystalRAT се промовира на Telegram, нудејќи можности за далечински пристап, кражба на податоци, keylogging и киднапирање на clipboard.

Малверот се појавил во јануари со модел на претплата во повеќе нивоа. Освен преку Telegram канал, MaaS решението било промовирано и на YouTube преку посебен маркетинг канал кој ги прикажувал неговите можности.

Истражувачите од Kaspersky во денешен извештај велат дека малверот покажува силни сличности со WebRAT (Salat Stealer), вклучувајќи ист дизајн на контролниот панел, код базиран на Go и сличен систем за продажба базиран на ботови.

CrystalX исто така вклучува обемна листа на prankware функции, дизајнирани да го нервираат корисникот или да ја нарушат неговата работа. И покрај оваа „забавна“ страна, CrystalX нуди широк спектар на можности за кражба на податоци.

Детали за CrystalX RAT

Според Kaspersky, малверот нуди кориснички-пријателски контролен панел и автоматизиран builder алат кој поддржува опции за прилагодување, вклучувајќи гео-блокирање, модификација на извршните датотеки и anti-analysis функции (anti-debugging, детекција на виртуелни машини, детекција на прокси, итн.).

Генерираните payload-и се компресирани со zlib и енкриптирани со ChaCha20 симетричен стрим шифар за заштита.

Малверот се поврзува со command-and-control (C2) сервер преку WebSocket и испраќа информации за хостот со цел профилирање и следење на инфекцијата.

Infostealer компонентата на CrystalX, која Kaspersky ја забележал дека е привремено оневозможена додека се подготвува надградба, таргетира Chromium-базирани прелистувачи преку ChromeElevator алатката, како и Yandex и Opera. Дополнително, алатката собира податоци и од десктоп апликации како Steam, Discord и Telegram.

Модулот за далечински пристап може да се користи за извршување команди преку CMD, upload/download на датотеки, преглед на фајл системот и контрола на компјутерот во реално време преку вграден VNC.

Малверот покажува и spyware однесување, бидејќи може да снима видео и аудио преку микрофон.

На крај, CrystalX содржи keylogger кој ги пренесува притиснатите копчиња во реално време до C2 серверот, како и clipper алатка која користи регуларни изрази за да препознае адреси на крипто-паричници во clipboard и да ги замени со адреси контролирани од напаѓачот.

Додавање малку „забава“ во комбинацијата

Она што го издвојува CrystalX во преполниот MaaS простор е неговиот богат сет на prankware функции.

Според Kaspersky, малверот може да го прави следново на заразените уреди:

• да ја менува позадината на десктопот
• да ја менува ориентацијата на екранот во различни агли
• да предизвика принудно исклучување на системот
• да ги пренамапира копчињата на глушецот
• да ги оневозможи влезните уреди (тастатура/глушец/монитор)
• да прикажува лажни известувања
• да ја менува позицијата на курсорот на екранот
• да сокрива различни компоненти (desktop икони, taskbar, Task Manager и Command Prompt)
• да обезбеди прозорец за комуникација помеѓу напаѓачот и жртвата

Иако овие функции не ја зголемуваат директно можноста за заработка на сајбер-криминалците, тие го прават „производот“ поуникатен и може да привлечат script kiddies и почетници/нискоквалификувани актери да се претплатат.

Дополнителна причина за овие prank функции може да биде манипулација со жртвата или одвлекување внимание додека модулите за кражба на податоци работат во позадина.

За да се намали ризикот од инфекции со малвер, на корисниците им се препорачува да бидат внимателни при интеракција со онлајн содржини и да избегнуваат преземање софтвер или медиуми од недоверливи или неофицијални извори.

Извори:

• Bleeping Computer – New CrystalRAT malware adds RAT, stealer and prankware features Bleeping Computer