В мире вредоносного программного обеспечения, где рынок переполнен удалёнными троянами доступа (RAT), появление нового игрока редко становится событием. Однако новая угроза под названием CrystalX RAT, обнаруженная в частных Telegram-чатах, привлекла внимание экспертов по кибербезопасности не только своими шпионскими функциями, но и необычным набором возможностей для троллинга жертв. Сочетание классических инструментов для кражи данных с функциями, призванными досаждать и запутывать пользователя, делает эту программу уникальным гибридом, распространяемым по модели MaaS (Вредоносное ПО как сервис").
Описание
Инцидент был обнаружен специалистами "Лаборатории Касперского" в марте 2026 года. Вредоносная программа, детектируемая как Backdoor.Win64.CrystalX.*, предлагалась злоумышленникам в приватных чатах с тремя уровнями подписки. На панели управления, доступной покупателям, представлен обширный арсенал: помимо стандартных для RAT функций удалённого доступа, присутствуют стилер (программа для кражи данных), кейлоггер (перехватчик нажатий клавиш), клиппер (подменяющий содержимое буфера обмена) и шпионские модули. Однако наиболее примечательным стал раздел "Rofl", содержащий так называемые "пранк-команды" - инструменты для розыгрышей и создания неудобств для пользователя заражённого компьютера.
История CrystalX RAT началась в январе 2026 года под названием Webcrystal RAT. Изначально его продвижение в узких кругах разработчиков вредоносного ПО вызвало скепсис, так как интерфейс панели управления был практически скопирован с другого известного трояна - WebRAT. Однако после ребрендинга проект обрёл второе дыхание. Автор запустил активную маркетинговую кампанию, включающую розыгрыши ключей доступа в Telegram и даже создал YouTube-канал с обзорами возможностей своего творения. Это указывает на коммерциализацию и стремление занять определённую нишу на переполненном рынке.
С технической точки зрения, троянец написан на языке Go и обладает рядом функций для противодействия анализу. Панель управления предоставляет автобилдер с гибкими настройками, включая геоблокировку по странам, выбор иконки исполняемого файла и встроенные механизмы обхода защиты. Среди них - проверка на использование прокси-инструментов (вроде Fiddler или Burp Suite), обнаружение виртуальных машин, антиотладочный бесконечный цикл и патчи для критически важных функций системы, таких как AmsiScanBuffer и EtwEventWrite, что затрудняет детектирование поведенческими средствами защиты.
После запуска вредоносная программа устанавливает соединение с командным сервером (C2) по протоколу WebSocket. Первым делом она собирает системную информацию, а затем активирует модуль кражи данных. Стилер нацелен на извлечение учётных данных Steam, Discord и Telegram, а также данных из браузеров на базе Chromium. Для этого используется популярная утилита ChromeElevator, которая декодируется из base64, распаковывается и запускается во временной директории. Примечательно, что в собранных на момент анализа образцах функция стилера была временно отключена - согласно данным OSINT (разведки на основе открытых источников), автор готовил её обновление.
Ключевой угрозой является модуль клиппера. По команде с панели управления троянец может внедрить в браузеры Chrome или Edge вредоносное расширение. Оно отслеживает буфер обмена пользователя и, обнаружив в нём криптовалютный кошелёк (поддерживаются Bitcoin, Litecoin, Monero и другие), автоматически подменяет адрес на тот, что контролируется злоумышленником. Это может привести к прямой финансовой потере при совершении транзакции. Удалённый доступ предоставляет злоумышленнику почти полный контроль: загрузка и выполнение файлов, навигация по файловой системе, удалённое управление через встроенный VNC-сервер, а также скрытый захват аудио с микрофона и видео с веб-камеры.
Именно "пранк-команды" выделяют CrystalX RAT среди аналогов. Атакующий может, например, перевернуть изображение на мониторе жертвы, заблокировать ввод с клавиатуры и мыши, отключить монитор, хаотично двигать курсор или поменять местами функции правой и левой кнопок мыши. Также доступны отображение ложных уведомлений, скрытие иконок с рабочего стола, отключение диспетчера задач и даже интерактивный чат с пользователем через системное диалоговое окно. Хотя эти функции не наносят прямого материального ущерба, они дезориентируют пользователя, затрудняют работу и могут служить прикрытием для более опасных действий злоумышленника, отвлекая внимание на устранение неполадок.
В настоящее время точный вектор первоначального заражения неизвестен, но уже зафиксированы десятки жертв. Хотя попытки заражений наблюдались преимущественно в России, сама услуга MaaS не имеет географических ограничений, что потенциально делает угрозу глобальной. Телеметрия показывает, что троянец продолжает активно развиваться: появляются новые версии имплантов. Сочетание активного развития, агрессивного маркетинга и уникального гибридного функционала, который может привлечь как серьёзных злоумышленников, так и менее опытных "троллей", указывает на то, что масштабы угрозы могут вырасти в ближайшем будущем. Этот случай наглядно демонстрирует эволюцию рынка вредоносного ПО как сервиса, где для привлечения клиентов авторы начинают экспериментировать не только с техническими возможностями, но и с нестандартными, провокационными функциями.
Индикаторы компрометации
Domains
- crystalxrat.top
- webcrystal.lol
- webcrystal.sbs
MD5
- 1a68ae614fb2d8875cb0573e6a721b46
- 2dbe6de177241c144d06355c381b868c
- 47accb0ecfe8ccd466752dde1864f3b0
- 49c74b302bfa32e45b7c1c5780dd0976
- 88c60df2a1414cbf24430a74ae9836e0
- e540e9797e3b814bfe0a82155dfe135d
