Ένα νέο κακόβουλο λογισμικό ως υπηρεσία που ονομάζεται CrystalRAT προωθείται στο Telegram, το οποίο προσφέρει δυνατότητες απομακρυσμένης πρόσβασης, κλοπής δεδομένων, καταγραφής πλήκτρων και πειρατείας προχείρου.
Το κακόβουλο λογισμικό εμφανίστηκε τον Ιανουάριο με ένα κλιμακωτό μοντέλο συνδρομής. Εκτός από το κανάλι Telegram, το MaaS προωθήθηκε και στο YouTube μέσω ενός αποκλειστικού καναλιού μάρκετινγκ που παρουσίαζε τις δυνατότητές του.
Οι ερευνητές της Kaspersky αναφέρουν σε μια έκθεση σήμερα ότι το κακόβουλο λογισμικό έχει ισχυρές ομοιότητες με το WebRAT (Salat Stealer), συμπεριλαμβανομένου του ίδιου σχεδιασμού πίνακα, κώδικα που βασίζεται σε Go και ενός παρόμοιου συστήματος πωλήσεων που βασίζεται σε bot.
Το CrystalX περιλαμβάνει επίσης μια εκτενή λίστα με λειτουργίες φάρσας που έχουν σχεδιαστεί για να ενοχλούν τον χρήστη ή να διαταράσσουν την εργασία του. Παρά τη «διασκεδαστική» πλευρά του, το CrystalX προσφέρει ένα μεγάλο σύνολο δυνατοτήτων κλοπής δεδομένων.
Πηγή: Kaspersky
Λεπτομέρειες CrystalX RAT
Η Kaspersky λέει ότι το κακόβουλο λογισμικό παρέχει έναν φιλικό προς τον χρήστη πίνακα ελέγχου και ένα αυτοματοποιημένο εργαλείο δημιουργίας που υποστηρίζει επιλογές προσαρμογής, όπως geoblocking, εκτελέσιμη προσαρμογή και λειτουργίες κατά της ανάλυσης (anti-debugging, εντοπισμός VM, εντοπισμός διακομιστή μεσολάβησης κ.λπ.).
Τα ωφέλιμα φορτία που δημιουργούνται είναι συμπιεσμένα με zlib και κρυπτογραφημένα με τον συμμετρικό κρυπτογράφηση ροής ChaCha20 για προστασία.
Το κακόβουλο λογισμικό συνδέεται με το command-and-control (C2) μέσω του WebSocket και στέλνει πληροφορίες σχετικά με τον κεντρικό υπολογιστή για δημιουργία προφίλ και παρακολούθηση μόλυνσης.
Το στοιχείο infostealer της CrystalX, το οποίο Η Kaspersky βρέθηκε για να απενεργοποιηθεί προσωρινά καθώς προετοιμάζεται για αναβάθμιση, στοχεύει προγράμματα περιήγησης που βασίζονται σε Chromium μέσω του εργαλείου ChromeElevator, Yandex και Opera. Επιπλέον, το εργαλείο συλλέγει δεδομένα από εφαρμογές επιτραπέζιου υπολογιστή όπως το Steam, το Discord και το Telegram.
Η μονάδα απομακρυσμένης πρόσβασης μπορεί να χρησιμοποιηθεί για την εκτέλεση εντολών μέσω CMD, τη μεταφόρτωση/λήψη αρχείων, την περιήγηση στο σύστημα αρχείων και τον έλεγχο του μηχανήματος σε πραγματικό χρόνο μέσω ενσωματωμένου VNC.
Το κακόβουλο λογισμικό παρουσιάζει επίσης συμπεριφορά παρόμοια με το spyware, καθώς μπορεί να καταγράψει βίντεο και ήχο από το μικρόφωνο.
Τέλος, το CrystalX διαθέτει ένα keylogger που μεταδίδει πλήκτρα σε πραγματικό χρόνο στο C2 και ένα εργαλείο περικοπής που χρησιμοποιεί κανονικές εκφράσεις για να ανιχνεύει διευθύνσεις πορτοφολιού στο πρόχειρο και να τις αντικαθιστά με αυτές που παρέχει ο εισβολέας.
Πηγή: Kaspersky
Προσθέτοντας λίγη «διασκέδαση» στο μείγμα
Αυτό που ξεχωρίζει το CrystalX στον πολυσύχναστο χώρο του MaaS είναι το πλούσιο σύνολο χαρακτηριστικών φάρσας.
Σύμφωνα με την Kaspersky, το κακόβουλο λογισμικό μπορεί να κάνει τα εξής σε μολυσμένες συσκευές:
- αλλαγή ταπετσαρίας επιφάνειας εργασίας
- αλλάζει τον προσανατολισμό της οθόνης σε διάφορες γωνίες
- αναγκαστική διακοπή λειτουργίας του συστήματος
- remap κουμπιά του ποντικιού
- απενεργοποίηση συσκευών εισόδου (πληκτρολόγιο/ποντίκι/οθόνη)
- εμφάνιση ψεύτικων ειδοποιήσεων
- αλλάξτε τη θέση του δρομέα στην οθόνη
- απόκρυψη διαφόρων στοιχείων (εικονίδια επιφάνειας εργασίας, γραμμή εργασιών, Διαχείριση Εργασιών και εκτελέσιμη γραμμή εντολών)
- παρέχετε ένα παράθυρο συνομιλίας επιτιθέμενου-θύματος
Αν και τα παραπάνω χαρακτηριστικά δεν βελτιώνουν τη δυνατότητα δημιουργίας εσόδων της επίθεσης για τους εγκληματίες του κυβερνοχώρου, σίγουρα κάνουν το προϊόν ξεχωριστό και θα μπορούσαν να δολώσουν παιδιά σεναρίου και χαμηλών δεξιοτήτων/εισαγωγικών πρωταγωνιστών απειλών για να αποκτήσουν συνδρομή.
Ένας άλλος λόγος για τα χαρακτηριστικά φάρσας θα μπορούσε να είναι πιθανή χειραγώγηση του θύματος ή ακόμα και απόσπαση της προσοχής, ενώ οι μονάδες κλοπής δεδομένων εκτελούνται στο παρασκήνιο.
Για να μειωθεί ο κίνδυνος μόλυνσης από κακόβουλο λογισμικό, συνιστάται στους χρήστες να είναι προσεκτικοί όταν αλληλεπιδρούν με διαδικτυακό περιεχόμενο και να αποφεύγουν τη λήψη λογισμικού ή πολυμέσων από μη αξιόπιστες ή ανεπίσημες πηγές.
Η αυτοματοποιημένη διενέργεια δοκιμής αποδεικνύει ότι η διαδρομή υπάρχει. Το BAS αποδεικνύει εάν τα χειριστήρια σας το σταματούν. Οι περισσότερες ομάδες τρέχουν η μία χωρίς την άλλη.
Αυτή η λευκή βίβλος χαρτογραφεί έξι επιφάνειες επικύρωσης, δείχνει πού τελειώνει η κάλυψη και παρέχει στους επαγγελματίες τρεις διαγνωστικές ερωτήσεις για οποιαδήποτε αξιολόγηση εργαλείου.
VIA: bleepingcomputer.com