Новый сервис вредоносного ПО как услуги CrystalRAT, замеченный в Telegram, предлагает удаленный доступ, кражу данных, кейлоггинг и перехват буфера обмена. ПО, похожее на WebRAT, включает функции «пранквар» для отвлечения и манипуляции жертвой. — bleepingcomputer.com
В Telegram продвигается новый сервис вредоносного ПО как услуги (MaaS) под названием CrystalRAT, предлагающий возможности удаленного доступа, кражи данных, кейлоггинга и перехвата буфера обмена.
Вредоносное ПО появилось в январе с многоуровневой моделью подписки. Помимо канала в Telegram, MaaS также продвигался на YouTube через специальный маркетинговый канал, демонстрирующий его возможности.
Исследователи «Лаборатории Касперского» заявляют в сегодняшнем отчете, что вредоносное ПО имеет сильное сходство с WebRAT (Salat Stealer), включая одинаковый дизайн панели управления, код на Go и схожую систему продаж на основе ботов.
CrystalX также включает обширный список функций «пранквар» (prankware), предназначенных для раздражения пользователя или нарушения его работы. Несмотря на свою «развлекательную» сторону, CrystalX предлагает большой набор возможностей для кражи данных.
Подробности о CrystalX RAT
«Лаборатория Касперского» сообщает, что вредоносное ПО предоставляет удобную панель управления и автоматизированный инструмент-конструктор, поддерживающий опции настройки, включая геоблокировку, настройку исполняемого файла и функции противодействия анализу (антиотладка, обнаружение ВМ, обнаружение прокси и т. д.).
Сгенерированные полезные нагрузки сжимаются с помощью zlib и шифруются симметричным потоковым шифром ChaCha20 для защиты.
Вредоносное ПО подключается к командно-контрольному центру (C2) через WebSocket и отправляет информацию о хосте для профилирования и отслеживания заражения.
Компонент похитителя данных CrystalX, который, как обнаружила «Лаборатория Касперского», временно отключен, поскольку готовится к обновлению, нацелен на браузеры на базе Chromium через инструмент ChromeElevator, а также на Yandex и Opera. Кроме того, инструмент собирает данные из настольных приложений, таких как Steam, Discord и Telegram.
Модуль удаленного доступа может использоваться для выполнения команд через CMD, загрузки/выгрузки файлов, просмотра файловой системы и управления машиной в реальном времени через встроенный VNC.
Вредоносное ПО также демонстрирует поведение, схожее со шпионским ПО, поскольку может захватывать видео и аудио с микрофона.
Наконец, CrystalX оснащен кейлоггером, который в реальном времени передает нажатия клавиш на C2, и инструментом-клиппером, который использует регулярные выражения для обнаружения адресов кошельков в буфере обмена и замены их на адреса, предоставленные злоумышленником.
Добавление «веселья» в пакет
Что отличает CrystalX на переполненном рынке MaaS, так это его богатый набор функций «пранквар».
По данным «Лаборатории Касперского», вредоносное ПО может выполнять на зараженных устройствах следующее:
- изменять обои рабочего стола
- менять ориентацию дисплея под разными углами
- принудительно выключать систему
- переназначать кнопки мыши
- отключать устройства ввода (клавиатуру/мышь/монитор)
- показывать поддельные уведомления
- менять положение курсора на экране
- скрывать различные компоненты (значки рабочего стола, панель задач, исполняемый файл Диспетчера задач и Командной строки)
- предоставлять окно чата между злоумышленником и жертвой
Хотя перечисленные функции не улучшают потенциал монетизации атаки для киберпреступников, они, безусловно, делают продукт отличительным и могут привлечь скрипт-кидди и низкоквалифицированных/начинающих злоумышленников к оформлению подписки.
Другой причиной наличия функций для розыгрышей может быть потенциал для манипуляции жертвой или даже отвлечения внимания, пока в фоновом режиме работают модули кражи данных.
Чтобы снизить риск заражения вредоносным ПО, пользователям рекомендуется проявлять осторожность при взаимодействии с онлайн-контентом и избегать загрузки программного обеспечения или медиафайлов из недоверенных или неофициальных источников.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas