В мире киберпреступности наметилась тревожная тенденция: границы между различными типами атак размываются. Если раньше злоумышленники часто специализировались на чём-то одном - либо краже данных, либо шпионаже, либо вымогательстве, - то теперь они стремятся создать универсальные инструменты. Ярким примером такой конвергенции стал недавно обнаруженный экспертами троян CrystalX RAT. Этот зловред, распространяемый по модели Malware-as-a-Service ("вредоносное ПО как услуга"), сочетает в себе функции удалённого доступа, похитителя паролей, шпионского модуля и так называемого prankware - программ для розыгрышей и деструктивных действий против пользователя. Подобный гибридный подход не только повышает ценность инструмента для киберпреступников, но и усложняет задачу защиты для обычных пользователей и организаций.
Описание
Исследователи "Лаборатории Касперского" первыми детально изучили эту угрозу. Изначально она была известна под названием Webcrystal RAT в январе 2026 года, но позднее её переименовали и начали агрессивно продвигать через закрытые каналы в Telegram и YouTube. Ключевая особенность CrystalX - его бизнес-модель. Любой желающий может приобрести доступ к этой платформе через подписку, получив в распоряжение веб-панель управления и конструктор для сборки собственных модификаций вредоносной программы. Это значительно снижает порог входа в киберпреступную деятельность, позволяя даже неопытным злоумышленникам запускать сложные атаки.
Технический анализ показывает, что разработчики CrystalX уделили внимание не только функциональности, но и маскировке. Полезная нагрузка трояна сжимается и шифруется, а сам он оснащён рядом механизмов противодействия анализу. Среди них - проверка реестра на предмет средств анализа трафика, обнаружение виртуальных машин, антиотладочные циклы и даже патчинг в памяти критически важных API безопасности операционной системы, таких как AMSI (Antimalware Scan Interface, интерфейс антивирусного сканирования) и ETW (Event Tracing for Windows, трассировка событий Windows). Эти методы указывают на средний уровень сложности, но их достаточно, чтобы избежать обнаружения как автоматическими системами, так и анализом вручную на ранних этапах.
После запуска на компьютере жертвы CrystalX устанавливает соединение с командным сервером и передаёт подробную информацию о системе. Его модуль для кража данных нацелен на учётные записи популярных сервисов: Steam, Discord, Telegram и браузеров на базе Chromium. Данные временно хранятся на диске, а затем пересылаются злоумышленникам. Примечательно, что в некоторых сборках этот модуль временно отключён, что может свидетельствовать о его доработке. Кроме того, троян включает клавиатурный шпион, передающий нажатия клавиш в реальном времени, и модуль для мониторинга буфера обмена. Последний представляет особую опасность для пользователей криптовалют: вредоносный скрипт, внедряемый через Chrome DevTools Protocol, способен автоматически заменять скопированные адреса кошельков Bitcoin, Monero или Dogecoin на адреса, контролируемые атакующими, перенаправляя таким образом переводы.
Возможности удалённого доступа CrystalX обширны. Злоумышленник может выполнять команды через командную строку, загружать и скачивать файлы, просматривать файловую систему, а также получать полный контроль над экраном через встроенный VNC-сервер. Также реализован доступ к микрофону и веб-камере, что превращает заражённое устройство в инструмент тотальной слежки. Для обеспечения беспрепятственного контроля оператор может даже временно отключить ввод с клавиатуры и мыши пользователя.
Однако самой необычной частью CrystalX является модуль "Rofl", содержащий функции цифрового хулиганства. С его помощью атакующий может вращать ориентацию экрана, менять местами кнопки мыши, скрывать иконки с рабочего стола, имитировать сбои или выключение системы, а также хаотично двигать курсор. Хотя на первый взгляд эти действия кажутся безобидными розыгрышами, на деле они могут серьёзно дезорганизовать работу пользователя, вызвать панику и служить инструментом психологического давления или преследования. Подобное сочетание серьёзных киберпреступных функций с деструктивными шалостями отражает новый тренд на создание многоцелевых вредоносных программ.
Исследователи в своём отчёте отмечают, что, несмотря на то что основные случаи заражения пока зафиксированы в России, модель распространения MaaS и отсутствие географических ограничений в коде указывают на потенциально глобальную угрозу. Инфраструктура проекта включает веб-панели управления и ботов для раздачи лицензий, а его маркетинг активно ведётся в социальных сетях. Анализ кода также выявил явное сходство CrystalX с более ранним трояном, известным как WebRAT или Salat Stealer, что говорит о непрерывной эволюции одной и той же киберпреступной платформы.
Появление CrystalX RAT знаменует собой важный этап в развитии массового вредоносного ПО. Комбинация финансовой мотивации, шпионажа и целенаправленного нарушения рабочего процесса пользователя в рамках единого инструмента повышает его привлекательность для различных групп злоумышленников. Частая смена названий, модульная архитектура и постоянные обновления создают серьёзные проблемы для традиционных систем защиты, основанных на сигнатурах, которые могут не сработать против новых вариантов угрозы. Это подчёркивает необходимость для специалистов по информационной безопасности использовать многоуровневые подходы к защите, включающие анализ поведения, контроль целостности приложений и постоянный мониторинг сетевой активности для выявления аномалий, которые могут указывать на компрометацию системы подобными гибридными троянами.
Индикаторы компрометации
SHA256
- 33d2ede41373ccb57c46aa7f608f7b8610cff511500eaa80c24427a1de11bcb0
- 3b85ecfe621924eba4d16d5993b2beece2a07fbedc7ef15850bcfdd44c4f39f9
- 4049b11974d4b950885ae93bc9af3c9352b70a064b373fab60f4c99542f71b20
- 912fcd1ba138a8af6ada02a5d62a5a918ff06d4618c041dbf075a60ea37d4d09
- e08610b28e637679feaf243622adf3386a04bd24c915fe64c908d4d68b9fd203
