De acordo com um relatório da Kaspersky, investigadores revelaram detalhes sobre o CrystalRAT, também conhecido como CrystalX, um novo malware comercializado online que mistura ferramentas avançadas de espionagem com funções criadas puramente para irritar quem usa o computador.
O código malicioso surgiu em janeiro com um modelo de subscrição, operando como um serviço para cibercriminosos. Além da partilha num canal do Telegram, os seus criadores utilizaram também o YouTube através de um canal de marketing dedicado para promover as capacidades da ferramenta.
As partidas que escondem uma ameaça real
O que distingue o CrystalX de outras ameaças no mercado é a sua extensa lista de funções focadas em pregar partidas e dificultar a vida do utilizador. Os atacantes conseguem alterar o fundo do ambiente de trabalho, rodar a orientação do ecrã para vários ângulos, forçar o encerramento do sistema ou até reconfigurar os botões do rato.
A lista de irritações continua com a possibilidade de desativar o teclado e o monitor, mostrar notificações falsas, esconder ícones e a barra de tarefas, bloquear o Gestor de Tarefas e até abrir uma janela de conversação direta entre o atacante e a vítima. Os investigadores apontam que estas funções podem servir para atrair indivíduos com menos experiência ou simplesmente para distrair o utilizador enquanto o verdadeiro roubo acontece em segundo plano.
Espionagem e roubo de informação
Apesar do seu lado mais caricato, o CrystalX é uma ferramenta de roubo de dados robusta. O componente principal tem como alvo navegadores baseados em Chromium, Yandex e Opera, recolhendo também informação de aplicações populares de computador, como o Steam e o Discord.
O acesso remoto permite aos piratas informáticos executar comandos, transferir ficheiros e controlar a máquina em tempo real. A ameaça comporta-se ainda como software espião, conseguindo capturar vídeo e áudio através do microfone.
Para completar o arsenal, o malware inclui um registador de teclas (keylogger) e uma ferramenta que deteta endereços de carteiras de criptomoedas na área de transferência, substituindo-os pelos endereços do atacante para desviar fundos.
Painel de controlo e semelhanças no código
A nível técnico, a ameaça oferece um painel de controlo simples e um construtor automatizado que permite personalizar a infeção, incluindo o bloqueio geográfico e defesas contra análise de segurança. Os ficheiros gerados são comprimidos e encriptados com a cifra ChaCha20 para dificultar a deteção.
Especialistas notam fortes semelhanças entre o CrystalRAT e o WebRAT, partilhando o mesmo design de painel, código baseado na linguagem Go e um sistema de vendas idêntico. Para reduzir o risco de infeções, a recomendação passa por manter o cuidado na interação com conteúdos online e evitar descarregar programas de fontes não oficiais.
Nenhum comentário
Seja o primeiro!